1月22日,“穿云箭”組合漏洞媒體溝通會于360大廈召開�。上周��,谷歌官方發(fā)文致謝360 Alpha團隊�,并向360 Alpha團隊負責人龔廣頒發(fā)了總額為112500美金的安卓漏洞獎勵計劃(ASR)史上最高金額的獎金�。360 Alpha團隊在2017年8月向谷歌提交了關(guān)于攻破Pixel手機的“穿云箭”組合漏洞報告。
“穿云箭”組合漏洞可以徹底遠程攻破谷歌Pixel手機�,對用戶的隱私及財產(chǎn)安全造成極大的威脅。為了保護用戶的手機安全�����,360 Alpha團隊在17年8月將該組合漏洞報告給谷歌�����,已成功幫助其修復Android 系統(tǒng)和Chrome瀏覽器�����。
同時���,為了幫助國內(nèi)廣大手機廠商減少等待補丁下放時間����,能第一時間發(fā)現(xiàn)漏洞并進行修補。在媒體溝通會上�����,360攜手移動安全聯(lián)盟(MSA)推出了“先行者”行動計劃���。
會議現(xiàn)場����,MSA相關(guān)負責人表示:“通過攜手移動安全聯(lián)盟�,360能與廠商提前共享漏洞信息,預(yù)先防御���,及時修補漏洞�����,使移動安全防線前移����,營造良性手機安全生態(tài)環(huán)境��,聯(lián)手保護手機用戶的使用安全�����?��!?/p>
最難攻破手機首次被破解 360團隊獲得谷歌ASR史上最高獎金
“在安全圈內(nèi)����,谷歌的Pixel手機一直被譽為最難被攻破的手機�,在移動安全領(lǐng)域的最高賽事Mobile Pwn2Own 2017黑客大賽也是唯一未被攻破的移動設(shè)備。并且��,Google Pixel不僅僅沒有被攻破�,竟無人報名嘗試挑戰(zhàn),可見其難度之大����。”360助理總裁兼首席安全工程師鄭文彬介紹道�����。
為了獎勵此次360 Alpha團隊為保護手機用戶安全做出的貢獻����,谷歌向360 Alpha團隊負責人龔廣頒發(fā)了總額為112500美金的獎勵(包括105000的Android獎勵和7500的Chrome獎勵),這是自2015年谷歌設(shè)立安卓漏洞獎勵計劃(ASR)三年來給出的史上最高獎勵。
谷歌團隊發(fā)文致謝360團隊
之所以此次Google會頒發(fā)如此高的獎金���,一方面是由于“穿云箭”組合漏洞的影響面廣���,未修復前大部分安卓手機都可能會被黑客利用這個組合漏洞攻破。另一方面該漏洞是基于底層系統(tǒng)存在的�,能影響手機設(shè)備上所有應(yīng)用,甚至包括電話短信等基礎(chǔ)應(yīng)用�,造成的危害最大。不法分子可利用該漏洞獲取用戶短信驗證碼�����、支付應(yīng)用權(quán)限等�����,對用戶的個人隱私和財產(chǎn)都造成極大威脅�����。
“但實際上���,360 Alpha 團隊在2017年8月就發(fā)現(xiàn)了‘穿云箭’組合漏洞����,并在第一時間就提交給谷歌官方�����?��!编嵨谋蜻M一步補充道����。
這兩個漏洞分別是基于Chrome瀏覽器的V8引擎漏洞CVE-2017-5116���,以及Android系統(tǒng)漏洞CVE-2017-14904��,是ASR首個可以遠程有效利用的系列漏洞��。其中�����,Chrome瀏覽器漏洞CVE-2017-5116可被用于在Chrome瀏覽器沙盒內(nèi)遠程執(zhí)行代碼��。
360攜手移動安全聯(lián)盟 讓廠商成為漏洞修補“先行者”
目前����,我國Android系統(tǒng)手機用戶占比超過50%,數(shù)量非常龐大�����。然而由于補丁的下放延遲��,導致市場上的Android手機會存在漏洞修復相對滯后的情況��。360手機衛(wèi)士與中國泰爾實驗室聯(lián)合發(fā)布的統(tǒng)計數(shù)據(jù)顯示���,在測試手機中��,平均未修復漏洞比為19%���,平均每款終端含有未修復漏洞5個左右。
大多數(shù)手機廠商�,對于Android系統(tǒng)漏洞的修復都是在等待谷歌官方的補丁。然而����,從白帽子發(fā)現(xiàn)漏洞提交給谷歌,谷歌收到漏洞報告進行修復��,最后下發(fā)補丁給廠商需要一段相對漫長的時間。在這段期間��,手機用戶往往會因為各類漏洞而面臨著一定的安全威脅���。
谷歌2017漏洞致謝榜
作為國內(nèi)首屈一指的安全公司,2017年���,360在谷歌漏洞致謝榜上����,便以超200枚安卓漏洞致謝數(shù)量再次排名榜首���,漏洞總數(shù)占本年度安卓致謝總數(shù)的近一半��。實現(xiàn)了谷歌年度漏洞致謝榜單上的三連冠���,遙遙領(lǐng)先于趨勢科技、Google Project Zero等國際頂級黑客天團�。
2017年12月,中國信息通信研究院泰爾終端實驗室牽頭會同設(shè)備生產(chǎn)廠商�����、互聯(lián)網(wǎng)廠商、安全廠商���、高等院校共同發(fā)起成立移動安全聯(lián)盟(Mobile Security Alliance���,簡稱MSA)。
因此����,作為移動安全聯(lián)盟理事成員的360,與移動安全聯(lián)盟攜手�����,推出“先行者”行動�����,與移動安全聯(lián)盟一起�,幫助國內(nèi)移動廠商成為漏洞修補的“先行者”。
未來��,“先行者”行動將配合移動安全聯(lián)盟漏洞修補相關(guān)計劃��,360在發(fā)現(xiàn)漏洞信息的第一時間與移動安全聯(lián)盟成員共享�,從政策��、標準�、檢測��、修復�、應(yīng)急響應(yīng)等方面積極推進,與合作廠商同步���,判斷漏洞風險,并聯(lián)合制定防御方案��,確保最短時間內(nèi)對漏洞進行修復���。
同時��,也鼓勵移動安全聯(lián)盟成員積極共享自己的技術(shù)力量�,讓中國移動廠商能夠成為全球移動安全漏洞修復的“先行者”���。
