華文網

360推“先行者”行動 率先發現“穿雲箭”組合漏洞立大功

北京時間1月22日,“穿雲箭”組合漏洞媒體溝通會于360大廈召開。上周,谷歌官方發文致謝360 Alpha團隊,並向360 Alpha團隊負責人龔廣頒發了總額為112500美金的安卓漏洞獎勵計畫(ASR)史上最高金額的獎金。

360 Alpha團隊在2017年8月向穀歌提交了關於攻破Pixel手機的“穿雲箭”組合漏洞報告。

“穿雲箭”組合漏洞可以徹底遠端攻破穀歌Pixel手機,對用戶的隱私及財產安全造成極大的威脅。為了保護用戶的手機安全,360 Alpha團隊在17年8月將該組合漏洞報告給穀歌,已成功説明其修復Android 系統和Chrome流覽器。

同時,為了幫助國內廣大手機廠商減少等待補丁下放時間,能第一時間發現漏洞並進行修補。在媒體溝通會上,

360攜手移動安全聯盟(MSA)推出了“先行者”行動計畫。

會議現場,MSA相關負責人表示:“通過攜手移動安全聯盟,360能與廠商提前共用漏洞資訊,預先防禦,及時修補漏洞,使移動安全防線前移,營造良性手機安全生態環境,聯手保護手機用戶的使用安全。”

最難攻破手機首次被破解 360團隊獲得谷歌ASR史上最高獎金

“在安全圈內,穀歌的Pixel手機一直被譽為最難被攻破的手機,在移動安全領域的最高賽事Mobile Pwn2Own 2017駭客大賽也是唯一未被攻破的移動設備。

並且,Google Pixel不僅僅沒有被攻破,竟無人報名嘗試挑戰,可見其難度之大。”360助理總裁兼首席安全工程師鄭文彬介紹道。

圖:360助理總裁兼首席安全工程師鄭文彬現場演講

為了獎勵此次360 Alpha團隊為保護手機用戶安全做出的貢獻,

谷歌向360 Alpha團隊負責人龔廣頒發了總額為112500美金的獎勵(包括105000的Android獎勵和7500的Chrome獎勵),這是自2015年谷歌設立安卓漏洞獎勵計畫(ASR)三年來給出的史上最高獎勵。

圖:谷歌團隊發文致謝360團隊

之所以此次Google會頒發如此高的獎金,一方面是由於“穿雲箭”組合漏洞的影響面廣,

未修復前大部分安卓手機都可能會被駭客利用這個組合漏洞攻破。另一方面該漏洞是基於底層系統存在的,能影響手機設備上所有應用,甚至包括電話短信等基礎應用,造成的危害最大。不法分子可利用該漏洞獲取用戶短信驗證碼、支付應用許可權等,對用戶的個人隱私和財產都造成極大威脅。

“但實際上,360 Alpha 團隊在2017年8月就發現了‘穿雲箭’組合漏洞,並在第一時間就提交給穀歌官方。

”鄭文彬進一步補充道。

這兩個漏洞分別是基於Chrome流覽器的V8引擎漏洞CVE-2017-5116,以及Android系統漏洞CVE-2017-14904,是ASR首個可以遠端有效利用的系列漏洞。其中,Chrome流覽器漏洞CVE-2017-5116可被用於在Chrome流覽器沙箱內遠端執行代碼。

360攜手移動安全聯盟 讓廠商成為漏洞修補“先行者”

目前,我國Android系統手機使用者占比超過50%,數量非常龐大。然而由於補丁的下放延遲,導致市場上的Android手機會存在漏洞修復相對滯後的情況。360手機衛士與中國泰爾實驗室聯合發佈的統計資料顯示,在測試手機中,平均未修復漏洞比為19%,平均每款終端含有未修復漏洞5個左右。

大多數手機廠商,對於Android系統漏洞的修復都是在等待穀歌官方的補丁。然而,從白帽子發現漏洞提交給谷歌,穀歌收到漏洞報告進行修復,最後下發補丁給廠商需要一段相對漫長的時間。在這段期間,手機用戶往往會因為各類漏洞而面臨著一定的安全威脅。

圖:穀歌2017漏洞致謝榜

作為國內首屈一指的安全公司,2017年,360在穀歌漏洞致謝榜上,便以超200枚安卓漏洞致謝數量再次排名榜首,漏洞總數占本年度安卓致謝總數的近一半。實現了穀歌年度漏洞致謝榜單上的三連冠,遙遙領先於趨勢科技、Google Project Zero等國際頂級駭客天團。

2017年12月,中國資訊通信研究院泰爾終端實驗室牽頭會同設備生產廠商、互聯網廠商、安全廠商、高等院校共同發起成立移動安全聯盟(Mobile Security Alliance,簡稱MSA)。

因此,作為移動安全聯盟理事成員的360,與移動安全聯盟攜手,推出“先行者”行動,與移動安全聯盟一起,幫助國內移動廠商成為漏洞修補的“先行者”。

圖:移動安全聯盟標準政策組組長翟世俊博士現場演講

未來,“先行者”行動將配合移動安全聯盟漏洞修補相關計畫,360在發現漏洞資訊的第一時間與移動安全聯盟成員共用,從政策、標準、檢測、修復、應急回應等方面積極推進,與合作廠商同步,判斷漏洞風險,並聯合制定防禦方案,確保最短時間內對漏洞進行修復。

同時,也鼓勵移動安全聯盟成員積極共用自己的技術力量,讓中國移動廠商能夠成為全球移動安全性漏洞修復的“先行者”。

360手機衛士與中國泰爾實驗室聯合發佈的統計資料顯示,在測試手機中,平均未修復漏洞比為19%,平均每款終端含有未修復漏洞5個左右。

大多數手機廠商,對於Android系統漏洞的修復都是在等待穀歌官方的補丁。然而,從白帽子發現漏洞提交給谷歌,穀歌收到漏洞報告進行修復,最後下發補丁給廠商需要一段相對漫長的時間。在這段期間,手機用戶往往會因為各類漏洞而面臨著一定的安全威脅。

圖:穀歌2017漏洞致謝榜

作為國內首屈一指的安全公司,2017年,360在穀歌漏洞致謝榜上,便以超200枚安卓漏洞致謝數量再次排名榜首,漏洞總數占本年度安卓致謝總數的近一半。實現了穀歌年度漏洞致謝榜單上的三連冠,遙遙領先於趨勢科技、Google Project Zero等國際頂級駭客天團。

2017年12月,中國資訊通信研究院泰爾終端實驗室牽頭會同設備生產廠商、互聯網廠商、安全廠商、高等院校共同發起成立移動安全聯盟(Mobile Security Alliance,簡稱MSA)。

因此,作為移動安全聯盟理事成員的360,與移動安全聯盟攜手,推出“先行者”行動,與移動安全聯盟一起,幫助國內移動廠商成為漏洞修補的“先行者”。

圖:移動安全聯盟標準政策組組長翟世俊博士現場演講

未來,“先行者”行動將配合移動安全聯盟漏洞修補相關計畫,360在發現漏洞資訊的第一時間與移動安全聯盟成員共用,從政策、標準、檢測、修復、應急回應等方面積極推進,與合作廠商同步,判斷漏洞風險,並聯合制定防禦方案,確保最短時間內對漏洞進行修復。

同時,也鼓勵移動安全聯盟成員積極共用自己的技術力量,讓中國移動廠商能夠成為全球移動安全性漏洞修復的“先行者”。