近日,谷歌發表了2017年漏洞獎勵計劃總結報告,公開2017年漏洞獎勵計劃的數據、最重要的漏洞項目以及對於安卓系統和Google Play的漏洞獎勵改進計劃。報告顯示,2017年穀歌向274名安全專家發放了共計290萬美元的獎勵,其中360 Alpha團隊龔廣報告的「穿雲箭」組合漏洞,拿到了自2015年穀歌設立安卓漏洞獎勵計劃(ASR)三年來給出的史上最高獎勵——11.25萬美元,並獲得了谷歌公司的鄭重感謝。
「穿雲箭」組合漏洞的提交成為谷歌漏洞獎勵計劃一大亮點
谷歌公開的報告中總結了2017年漏洞獎勵計劃裡,最為「出彩」、最有亮點的幾個項目,其中首要說明的就是360 Alpha 團隊龔廣向谷歌提交的Pixel手機「穿雲箭」組合漏洞。
龔廣在2017年8月就發現了 「穿雲箭」漏洞鏈,並在第一時間提交給谷歌官方。這兩個漏洞分別是基於Chrome瀏覽器的V8引擎漏洞和Android系統漏洞,是ASR史上首個可以遠程有效利用的系列漏洞。其中,Chrome瀏覽器漏洞CVE-2017-5116可被用於在Chrome瀏覽器沙箱內遠程執行代碼。
利用這兩個漏洞組合,黑客只需要讓網民訪問瀏覽器的一個惡意網址,就能巧妙穿透Chrome沙盒,直接在系統底層執行任意代碼,全面控制谷歌Pixel手機。不僅通訊錄、簡訊、照片、視頻等隱私信息可以被竊取,黑客甚至還能操控手機進行錄音、竊聽等,更為危險的是,用戶手機中的支付信息,也可能被黑客「收入囊中」,手機已然成為黑客的錢袋子。
在安全圈內,谷歌的Pixel手機一直被譽為最難被攻破的手機,在移動安全領域的最高賽事Mobile Pwn2Own 2017黑客大賽也是唯一未被攻破的行動裝置。在iPhone 7、Samsung Galaxy S8、華為Mate9 pro紛紛淪陷的情況下,只有Google Pixel沒有被攻破。並且,Google Pixel不僅僅沒有被攻破,竟無人報名嘗試挑戰,可見其難度之大,難怪谷歌為「穿雲箭」付出了高達11.25萬美元的漏洞獎金,這是自2015年穀歌設立安卓漏洞獎勵計劃(ASR)三年來給出的史上最高獎勵。
而領取這筆獎金的安全研究員龔廣,是360 Alpha團隊負責人,自稱老鮮肉。他在知名黑客大賽中攻破手機拿「一血」是家常便飯。龔廣曾創造了一年時間內在國際四大知名黑客比賽(Mobile Pwn2Own2015、Pwn0rama2016、Pwn2Own 2016、PwnFest2016)中贏得大滿貫的業內傳奇,創造了多次全球首個成功攻破谷歌親兒子——Nexus系列手機的記錄。
360獲谷歌漏洞致謝榜三連冠 移動安全領域實力強悍
在谷歌2017全年的榜單中,360憑藉227次安卓致謝和6次Chrome致謝再登榜首,遠超谷歌自家的機器挖掘大軍和黑客天團Google Project Zero。值得一提的是,這已經是自2015年穀歌公布漏洞致謝以來360第三年蟬聯冠軍,展現了在移動安全領域的強悍實力。
目前,我國安卓系統手機用戶佔比超過50%,數量非常龐大。但據360網際網路安全中心發布的《2017年度安卓系統安全性生態環境研究報告》顯示,九成以上的安卓設備存在高危系統漏洞。大安全時代,網絡安全會影響生活的方方面面。手機漏洞一旦被不法分子利用,用戶個人隱私甚至是財產、人身安全都將受到威脅,嚴重情況下,社會安全、國家安全都有可能被一個漏洞武器攻擊。
嚴峻的安全形勢下,系統廠商、手機廠商與安全廠商、安全研究員等多方需要通力合作,共鑄安全共同體。作為國內最大的網際網路安全公司,360在漏洞挖掘工作上不遺餘力,第一時間與系統廠商攜手,以最快速度封堵安全漏洞,共同維護大安全生態平衡,為安全生態良性互動樹立典範。
(責任編輯:華青劍)