近日,谷歌發(fā)表了2017年漏洞獎勵計劃總結(jié)報告��,公開2017年漏洞獎勵計劃的數(shù)據(jù)�����、最重要的漏洞項目以及對于安卓系統(tǒng)和Google Play的漏洞獎勵改進(jìn)計劃�����。報告顯示��,2017年谷歌向274名安全專家發(fā)放了共計290萬美元的獎勵��,其中360 Alpha團(tuán)隊龔廣報告的“穿云箭”組合漏洞���,拿到了自2015年谷歌設(shè)立安卓漏洞獎勵計劃(ASR)三年來給出的史上最高獎勵——11.25萬美元�,并獲得了谷歌公司的鄭重感謝�。
“穿云箭”組合漏洞的提交成為谷歌漏洞獎勵計劃一大亮點(diǎn)
谷歌公開的報告中總結(jié)了2017年漏洞獎勵計劃里���,最為“出彩”�����、最有亮點(diǎn)的幾個項目����,其中首要說明的就是360 Alpha 團(tuán)隊龔廣向谷歌提交的Pixel手機(jī)“穿云箭”組合漏洞。
龔廣在2017年8月就發(fā)現(xiàn)了 “穿云箭”漏洞鏈����,并在第一時間提交給谷歌官方。這兩個漏洞分別是基于Chrome瀏覽器的V8引擎漏洞和Android系統(tǒng)漏洞����,是ASR史上首個可以遠(yuǎn)程有效利用的系列漏洞。其中����,Chrome瀏覽器漏洞CVE-2017-5116可被用于在Chrome瀏覽器沙箱內(nèi)遠(yuǎn)程執(zhí)行代碼。
利用這兩個漏洞組合��,黑客只需要讓網(wǎng)民訪問瀏覽器的一個惡意網(wǎng)址��,就能巧妙穿透Chrome沙盒,直接在系統(tǒng)底層執(zhí)行任意代碼��,全面控制谷歌Pixel手機(jī)�����。不僅通訊錄����、短信、照片����、視頻等隱私信息可以被竊取,黑客甚至還能操控手機(jī)進(jìn)行錄音����、竊聽等,更為危險的是�,用戶手機(jī)中的支付信息,也可能被黑客“收入囊中”�,手機(jī)已然成為黑客的錢袋子。
在安全圈內(nèi)��,谷歌的Pixel手機(jī)一直被譽(yù)為最難被攻破的手機(jī)�����,在移動安全領(lǐng)域的最高賽事Mobile Pwn2Own 2017黑客大賽也是唯一未被攻破的移動設(shè)備。在iPhone 7�����、Samsung Galaxy S8���、華為Mate9 pro紛紛淪陷的情況下,只有Google Pixel沒有被攻破����。并且,Google Pixel不僅僅沒有被攻破�,竟無人報名嘗試挑戰(zhàn),可見其難度之大����,難怪谷歌為“穿云箭”付出了高達(dá)11.25萬美元的漏洞獎金,這是自2015年谷歌設(shè)立安卓漏洞獎勵計劃(ASR)三年來給出的史上最高獎勵�����。
而領(lǐng)取這筆獎金的安全研究員龔廣��,是360 Alpha團(tuán)隊負(fù)責(zé)人,自稱老鮮肉����。他在知名黑客大賽中攻破手機(jī)拿“一血”是家常便飯。龔廣曾創(chuàng)造了一年時間內(nèi)在國際四大知名黑客比賽(Mobile Pwn2Own2015���、Pwn0rama2016��、Pwn2Own 2016�、PwnFest2016)中贏得大滿貫的業(yè)內(nèi)傳奇�����,創(chuàng)造了多次全球首個成功攻破谷歌親兒子——Nexus系列手機(jī)的記錄����。
360獲谷歌漏洞致謝榜三連冠 移動安全領(lǐng)域?qū)嵙?qiáng)悍
在谷歌2017全年的榜單中,360憑借227次安卓致謝和6次Chrome致謝再登榜首�����,遠(yuǎn)超谷歌自家的機(jī)器挖掘大軍和黑客天團(tuán)Google Project Zero����。值得一提的是�,這已經(jīng)是自2015年谷歌公布漏洞致謝以來360第三年蟬聯(lián)冠軍�,展現(xiàn)了在移動安全領(lǐng)域的強(qiáng)悍實力。
目前����,我國安卓系統(tǒng)手機(jī)用戶占比超過50%,數(shù)量非常龐大���。但據(jù)360互聯(lián)網(wǎng)安全中心發(fā)布的《2017年度安卓系統(tǒng)安全性生態(tài)環(huán)境研究報告》顯示�����,九成以上的安卓設(shè)備存在高危系統(tǒng)漏洞。大安全時代���,網(wǎng)絡(luò)安全會影響生活的方方面面�����。手機(jī)漏洞一旦被不法分子利用���,用戶個人隱私甚至是財產(chǎn)、人身安全都將受到威脅,嚴(yán)重情況下�����,社會安全����、國家安全都有可能被一個漏洞武器攻擊。
嚴(yán)峻的安全形勢下�����,系統(tǒng)廠商��、手機(jī)廠商與安全廠商�、安全研究員等多方需要通力合作,共鑄安全共同體�。作為國內(nèi)最大的互聯(lián)網(wǎng)安全公司,360在漏洞挖掘工作上不遺余力��,第一時間與系統(tǒng)廠商攜手�,以最快速度封堵安全漏洞,共同維護(hù)大安全生態(tài)平衡�����,為安全生態(tài)良性互動樹立典范。
文章內(nèi)容僅供閱讀�����,不構(gòu)成投資建議���,請謹(jǐn)慎對待�����。投資者據(jù)此操作��,風(fēng)險自擔(dān)����。
京公網(wǎng)安備 11010502041587號