您當前位置:
??? 1月22日,“穿云箭”組合漏洞媒體溝通會于北京360大廈召開。上周,谷歌官方發文致謝360 Alpha團隊,并向360 Alpha團隊負責人龔廣頒發了總額為112500美元的安卓漏洞獎勵計劃(ASR)史上最高金額獎金。360 Alpha團隊在2017年8月向谷歌提交了關于攻破Pixel手機的“穿云箭”組合漏洞報告。
“穿云箭”組合漏洞可以徹底遠程攻破谷歌Pixel手機,對用戶的隱私及財產安全造成極大的威脅。為了保護用戶的手機安全,360 Alpha團隊在2017年8月將該組合漏洞報告給谷歌,已成功幫助其修復Android 系統和Chrome瀏覽器。
同時,為了幫助國內廣大手機廠商減少等待補丁下放時間,第一時間發現漏洞并進行修補,在媒體溝通會上,360攜手移動安全聯盟(MSA)推出了“先行者”行動計劃。
會議現場,MSA相關負責人表示:“通過攜手移動安全聯盟,360能與廠商提前共享漏洞信息,預先防御,及時修補漏洞,使移動安全防線前移,營造良性手機安全生態環境,聯手保護手機用戶的使用安全。”
最難攻破手機首次被破解 360團隊獲得谷歌ASR史上最高獎金
“在安全圈內,谷歌的Pixel手機一直被譽為最難被攻破的手機,在移動安全領域的最高賽事Mobile Pwn2Own 2017黑客大賽也是唯一未被攻破的移動設備。并且,Google Pixel不僅僅沒有被攻破,竟無人報名嘗試挑戰,可見其難度之大。”360助理總裁兼首席安全工程師鄭文彬介紹道。
360助理總裁兼首席安全工程師鄭文彬現場演講
為了獎勵此次360 Alpha團隊為保護手機用戶安全做出的貢獻,谷歌向360 Alpha團隊負責人龔廣頒發了總額為112500美金的獎勵(包括105000的Android獎勵和7500的Chrome獎勵),這是自2015年谷歌設立安卓漏洞獎勵計劃(ASR)三年來給出的史上最高獎勵。
谷歌團隊發文致謝360團隊
此次Google之所以頒發如此高的獎金,一方面是由于“穿云箭”組合漏洞的影響面廣,未修復前大部分安卓手機都可能會被黑客利用這個組合漏洞攻破。另一方面該漏洞是基于底層系統存在的,能影響手機設備上所有應用,甚至包括電話短信等基礎應用,造成的危害非常大。不法分子可利用該漏洞獲取用戶短信驗證碼、支付應用權限等,對用戶的個人隱私和財產造成極大威脅。
“但實際上,360 Alpha 團隊在2017年8月就發現了‘穿云箭’組合漏洞,并在第一時間就提交給谷歌官方。”鄭文彬進一步補充道。
這兩個漏洞分別是基于Chrome瀏覽器的V8引擎漏洞CVE-2017-5116,以及Android系統漏洞CVE-2017-14904,是ASR首個可以遠程有效利用的系列漏洞。其中,Chrome瀏覽器漏洞CVE-2017-5116可被用于在Chrome瀏覽器沙盒內遠程執行代碼。
360攜手移動安全聯盟 讓廠商成為漏洞修補“先行者”
目前,我國Android系統手機用戶占比超過50%,數量非常龐大。然而由于補丁的下放延遲,導致市場上的Android手機會存在漏洞修復相對滯后的情況。360手機衛士與中國泰爾實驗室聯合發布的統計數據顯示,在測試手機中,平均未修復漏洞比為19%,平均每款終端含有未修復漏洞5個左右。
大多數手機廠商,對于Android系統漏洞的修復都是在等待谷歌官方的補丁。然而,從白帽子發現漏洞提交給谷歌,谷歌收到漏洞報告進行修復,最后下發補丁給廠商需要一段相對漫長的時間。在這段期間,手機用戶往往會因為各類漏洞而面臨著一定的安全威脅。
谷歌2017漏洞致謝榜
作為國內首屈一指的安全公司,360在谷歌2017漏洞致謝榜上,便以超200枚安卓漏洞致謝數量再次排名榜首,漏洞總數占本年度安卓致謝總數的近一半。實現了谷歌年度漏洞致謝榜單上的三連冠,遙遙領先于趨勢科技、Google Project Zero等國際頂級黑客天團。
2017年12月,中國信息通信研究院泰爾終端實驗室牽頭會同設備生產廠商、互聯網廠商、安全廠商、高等院校共同發起成立移動安全聯盟(Mobile Security Alliance,簡稱MSA)。
因此,作為移動安全聯盟理事成員的360,與移動安全聯盟攜手,推出“先行者”行動,與移動安全聯盟一起,幫助國內移動廠商成為漏洞修補的“先行者”。
移動安全聯盟標準政策組組長翟世俊博士現場演講
未來,“先行者”行動將配合移動安全聯盟漏洞修補相關計劃,360在發現漏洞信息的第一時間與移動安全聯盟成員共享,從政策、標準、檢測、修復、應急響應等方面積極推進,與合作廠商同步,判斷漏洞風險,并聯合制定防御方案,確保最短時間內對漏洞進行修復。
同時,也鼓勵移動安全聯盟成員積極共享自己的技術力量,讓中國移動廠商能夠成為全球移動安全漏洞修復的“先行者”。
京公網安備 11010502031058號
