谷歌盘点2017年漏洞奖励计划 公开致谢360 安全团队
近日,谷歌发表了2017年漏洞奖励计划总结报告,公开2017年漏洞奖励计划的数据、最重要的漏洞项目以及对于安卓系统和Google Play的漏洞奖励改进计划。报告显示,2017年谷歌向274名安全专家发放了共计290万美元的奖励,其中360 Alpha团队龚广报告的“穿云箭”组合漏洞,拿到了自2015年谷歌设立安卓漏洞奖励计划(ASR)三年来给出的史上最高奖励——11.25万美元,并获得了谷歌公司的郑重感谢。
“穿云箭”组合漏洞的提交成为谷歌漏洞奖励计划一大亮点
谷歌公开的报告中总结了2017年漏洞奖励计划里,最为“出彩”、最有亮点的几个项目,其中首要说明的就是360 Alpha 团队龚广向谷歌提交的Pixel手机“穿云箭”组合漏洞。
龚广在2017年8月就发现了 “穿云箭”漏洞链,并在第一时间提交给谷歌官方。这两个漏洞分别是基于Chrome浏览器的V8引擎漏洞和Android系统漏洞,是ASR史上首个可以远程有效利用的系列漏洞。其中,Chrome浏览器漏洞CVE-2017-5116可被用于在Chrome浏览器沙箱内远程执行代码。
利用这两个漏洞组合,黑客只需要让网民访问浏览器的一个恶意网址,就能巧妙穿透Chrome沙盒,直接在系统底层执行任意代码,全面控制谷歌Pixel手机。不仅通讯录、短信、照片、视频等隐私信息可以被窃取,黑客甚至还能操控手机进行录音、窃听等,更为危险的是,用户手机中的支付信息,也可能被黑客“收入囊中”,手机已然成为黑客的钱袋子。
在安全圈内,谷歌的Pixel手机一直被誉为最难被攻破的手机,在移动安全领域的最高赛事Mobile Pwn2Own 2017黑客大赛也是唯一未被攻破的移动设备。在iPhone 7、Samsung Galaxy S8、华为Mate9 pro纷纷沦陷的情况下,只有Google Pixel没有被攻破。并且,Google Pixel不仅仅没有被攻破,竟无人报名尝试挑战,可见其难度之大,难怪谷歌为“穿云箭”付出了高达11.25万美元的漏洞奖金,这是自2015年谷歌设立安卓漏洞奖励计划(ASR)三年来给出的史上最高奖励。
而领取这笔奖金的安全研究员龚广,是360 Alpha团队负责人,自称老鲜肉。他在知名黑客大赛中攻破手机拿“一血”是家常便饭。龚广曾创造了一年时间内在国际四大知名黑客比赛(Mobile Pwn2Own2015、Pwn0rama2016、Pwn2Own 2016、PwnFest2016)中赢得大满贯的业内传奇,创造了多次全球首个成功攻破谷歌亲儿子——Nexus系列手机的记录。
360获谷歌漏洞致谢榜三连冠 移动安全领域实力强悍
在谷歌2017全年的榜单中,360凭借227次安卓致谢和6次Chrome致谢再登榜首,远超谷歌自家的机器挖掘大军和黑客天团Google Project Zero。值得一提的是,这已经是自2015年谷歌公布漏洞致谢以来360第三年蝉联冠军,展现了在移动安全领域的强悍实力。
目前,我国安卓系统手机用户占比超过50%,数量非常庞大。但据360互联网安全中心发布的《2017年度安卓系统安全性生态环境研究报告》显示,九成以上的安卓设备存在高危系统漏洞。大安全时代,网络安全会影响生活的方方面面。手机漏洞一旦被不法分子利用,用户个人隐私甚至是财产、人身安全都将受到威胁,严重情况下,社会安全、国家安全都有可能被一个漏洞武器攻击。
严峻的安全形势下,系统厂商、手机厂商与安全厂商、安全研究员等多方需要通力合作,共铸安全共同体。作为国内最大的互联网安全公司,360在漏洞挖掘工作上不遗余力,第一时间与系统厂商携手,以最快速度封堵安全漏洞,共同维护大安全生态平衡,为安全生态良性互动树立典范。