資安業者收購過期的零時差攻擊程式，強化資安防護技術

行動資安業者Zimperium本周公開對外收購鎖定行動平台的過期零時差攻擊程式，Zimperium並未公布收購每個過期攻擊程式的金額，僅說總共編列了150萬美元的預算。

坊間或黑市所叫賣的通常是零時差（zero-day）攻擊程式，意謂著該攻擊程式所開採的漏洞是尚未被揭露、亦未被修補的，在神不知鬼不覺的狀態下發動攻擊，以取得最大效益，若屬情節重大的遠端通用型零時差攻擊程式，售價可能高達上百萬美元；然而，一旦漏洞被揭露或修補後，這些攻擊程式的價值便大打折扣，變成了N-days攻擊程式，其中的N指的是漏洞被揭露到遭駭的時間，從零天變成了好多天。

不過，Zimperium認為這些N-day攻擊程式仍有剩餘價值，因為他們醉心於攻擊藝術，也欣賞駭客開發攻擊程式所使用的技巧，例如如何繞過ASLR/KASLR或是如何創造持久性等，相信他們能夠從這些攻擊程式中學習，進而轉化成保護客戶的安全技術，以它們來強化網路攻擊防禦引擎z9。

Zimperium表示，作為行動資安業者，他們不僅需要支持最新裝置的安全，也要保護那些已不被原廠支援的裝置，在許多情況下，這些老舊裝置的使用者根本沒有更新裝置的機會。

Zimperium的收購範圍涵蓋鎖定任何Android或iOS平台的N-days攻擊程式，包括了遠端與在地端攻擊程式。

在取得N-days攻擊程式後，Zimperium將率先將它們提供給Zimperium手機聯盟（Zimperium Handset Alliance，ZHA）的會員，該聯盟現有逾30家成員，包括三星、軟體銀行及Blackberry等，之後也會對外公開這些攻擊程式。