停止收購iOS漏洞?這不是偶然，是必然。

上周五，第三方漏洞收購平臺Zerodium宣布，由于短期內提交的iOS漏洞利用程序太多，其計劃在未來 2~3 個月內不再購買這類漏洞。比如，iOS 本地提權、Safari遠程執行代碼或沙箱漏洞等。

Zerodium推特官方聲明

這一舉措或許會導致iOS漏洞價格走低，對于iOS系統的安全性來說，或許并不是一件好事。蘋果最大的一個賣點則是iOS的安全性，但是Zerodium的CEO Chaouki Bekrar卻表示： 

Zerodium CEO 推特聲明

Zerodium向研究人員支付一定的費用來收購零日安全漏洞，然后轉手賣給政府和執法機構等客戶。據悉，提交的每個iOS漏洞利用會被給予10萬到200萬美元的獎勵。

Zerodium停止這一收購舉措并不是空穴來風。近年來，安卓漏洞收購價格持續走高，在去年9月份，Zerodium更新了其漏洞價格收購表，安卓漏洞利用價格首次反超iOS漏洞。

從去年更新的這一價格表可以看到，對Android的零點擊(無用戶交互)漏洞利用鏈可以使黑客和安全研究人員獲得高達250萬美元的獎勵。影響iOS的類似漏洞利用鏈價值僅200萬美元。

Zerodium的漏洞收購價取決于被攻擊的軟件或者系統的知名度和安全級別，以及提交的漏洞質量(全鏈或部分鏈、支持的版本/系統/ 架構、可靠性、繞過漏洞利用緩解、默認與非默認組件、流程延續等)。

事實上，世界各地的研究人員開發和出售的iOS漏洞數量都有所增加，市場上可謂是“泛濫如潮”。從去年開始，Zerodium就已經開始拒絕收購一些iOS漏洞了。

鑒于目前安卓的系統版本安全性越來越高，因此，Zerodium提高安卓的漏洞收購價格也是必然，而安卓漏洞的挖掘也變得更加耗時和困難。

五年前，Zerodium還出價100萬美元收購iOS漏洞，可是如今市場這只手，因為iOS漏洞的供過于求，將價格的天平撥向了安卓漏洞。

Jalf Security首席安全研究員、Objective-See創始人Patrick Wardle認為，此次聲明一方面反映了iOS安全性的真實狀態，另一方面可能也是想要掀一掀漏洞市場的波浪。但是見微知著，對于iOS安全研究人員來說，這一舉措或許并不讓人驚訝。

物以稀為貴。iOS漏洞熱潮退去早已初現苗頭，漏洞市場的轉移也讓Zerodium這一舉措在意料之中。 正如Zerodium CEO所說的那樣，希望iOS的安全性會更好。