北京時間1月22日, “穿雲箭”組合漏洞媒體溝通會于360大廈召開。 上周, 谷歌官方發文致謝360 Alpha團隊, 並向360 Alpha團隊負責人龔廣頒發了總額為112500美金的安卓漏洞獎勵計畫(ASR)史上最高金額的獎金。 360 Alpha團隊在2017年8月向穀歌提交了關於攻破Pixel手機的“穿雲箭”組合漏洞報告。
“穿雲箭”組合漏洞可以徹底遠端攻破穀歌Pixel手機, 對用戶的隱私及財產安全造成極大的威脅。 為了保護用戶的手機安全, 360 Alpha團隊在17年8月將該組合漏洞報告給穀歌, 已成功説明其修復Android 系統和Chrome流覽器。
同時, 為了幫助國內廣大手機廠商減少等待補丁下放時間, 能第一時間發現漏洞並進行修補。
會議現場, MSA相關負責人表示:“通過攜手移動安全聯盟, 360能與廠商提前共用漏洞資訊, 預先防禦, 及時修補漏洞, 使移動安全防線前移, 營造良性手機安全生態環境, 聯手保護手機用戶的使用安全。 ”
最難攻破手機首次被破解 360團隊獲得谷歌ASR史上最高獎金
“在安全圈內, 穀歌的Pixel手機一直被譽為最難被攻破的手機, 在移動安全領域的最高賽事Mobile Pwn2Own 2017駭客大賽也是唯一未被攻破的移動設備。 並且, Google Pixel不僅僅沒有被攻破, 竟無人報名嘗試挑戰, 可見其難度之大。 ”360助理總裁兼首席安全工程師鄭文彬介紹道。
圖:360助理總裁兼首席安全工程師鄭文彬現場演講
為了獎勵此次360 Alpha團隊為保護手機用戶安全做出的貢獻,
谷歌向360 Alpha團隊負責人龔廣頒發了總額為112500美金的獎勵(包括105000的Android獎勵和7500的Chrome獎勵),
這是自2015年谷歌設立安卓漏洞獎勵計畫(ASR)三年來給出的史上最高獎勵。
圖:谷歌團隊發文致謝360團隊
之所以此次Google會頒發如此高的獎金, 一方面是由於“穿雲箭”組合漏洞的影響面廣, 未修復前大部分安卓手機都可能會被駭客利用這個組合漏洞攻破。 另一方面該漏洞是基於底層系統存在的, 能影響手機設備上所有應用, 甚至包括電話短信等基礎應用, 造成的危害最大。
“但實際上, 360 Alpha 團隊在2017年8月就發現了‘穿雲箭’組合漏洞, 並在第一時間就提交給穀歌官方。 ”鄭文彬進一步補充道。
這兩個漏洞分別是基於Chrome流覽器的V8引擎漏洞CVE-2017-5116, 以及Android系統漏洞CVE-2017-14904, 是ASR首個可以遠端有效利用的系列漏洞。 其中, Chrome流覽器漏洞CVE-2017-5116可被用於在Chrome流覽器沙箱內遠端執行代碼。
360攜手移動安全聯盟 讓廠商成為漏洞修補“先行者”
目前, 我國Android系統手機使用者占比超過50%, 數量非常龐大。 然而由於補丁的下放延遲, 導致市場上的Android手機會存在漏洞修復相對滯後的情況。 360手機衛士與中國泰爾實驗室聯合發佈的統計資料顯示,
大多數手機廠商, 對於Android系統漏洞的修復都是在等待穀歌官方的補丁。 然而, 從白帽子發現漏洞提交給谷歌, 穀歌收到漏洞報告進行修復, 最後下發補丁給廠商需要一段相對漫長的時間。 在這段期間, 手機用戶往往會因為各類漏洞而面臨著一定的安全威脅。
圖:穀歌2017漏洞致謝榜
作為國內首屈一指的安全公司,2017年,360在穀歌漏洞致謝榜上,便以超200枚安卓漏洞致謝數量再次排名榜首,漏洞總數占本年度安卓致謝總數的近一半。實現了穀歌年度漏洞致謝榜單上的三連冠,遙遙領先於趨勢科技、Google Project Zero等國際頂級駭客天團。
2017年12月,中國資訊通信研究院泰爾終端實驗室牽頭會同設備生產廠商、互聯網廠商、安全廠商、高等院校共同發起成立移動安全聯盟(Mobile Security Alliance,簡稱MSA)。
因此,作為移動安全聯盟理事成員的360,與移動安全聯盟攜手,推出“先行者”行動,與移動安全聯盟一起,幫助國內移動廠商成為漏洞修補的“先行者”。
圖:移動安全聯盟標準政策組組長翟世俊博士現場演講
未來,“先行者”行動將配合移動安全聯盟漏洞修補相關計畫,360在發現漏洞資訊的第一時間與移動安全聯盟成員共用,從政策、標準、檢測、修復、應急回應等方面積極推進,與合作廠商同步,判斷漏洞風險,並聯合制定防禦方案,確保最短時間內對漏洞進行修復。
同時,也鼓勵移動安全聯盟成員積極共用自己的技術力量,讓中國移動廠商能夠成為全球移動安全性漏洞修復的“先行者”。
圖:穀歌2017漏洞致謝榜
作為國內首屈一指的安全公司,2017年,360在穀歌漏洞致謝榜上,便以超200枚安卓漏洞致謝數量再次排名榜首,漏洞總數占本年度安卓致謝總數的近一半。實現了穀歌年度漏洞致謝榜單上的三連冠,遙遙領先於趨勢科技、Google Project Zero等國際頂級駭客天團。
2017年12月,中國資訊通信研究院泰爾終端實驗室牽頭會同設備生產廠商、互聯網廠商、安全廠商、高等院校共同發起成立移動安全聯盟(Mobile Security Alliance,簡稱MSA)。
因此,作為移動安全聯盟理事成員的360,與移動安全聯盟攜手,推出“先行者”行動,與移動安全聯盟一起,幫助國內移動廠商成為漏洞修補的“先行者”。
圖:移動安全聯盟標準政策組組長翟世俊博士現場演講
未來,“先行者”行動將配合移動安全聯盟漏洞修補相關計畫,360在發現漏洞資訊的第一時間與移動安全聯盟成員共用,從政策、標準、檢測、修復、應急回應等方面積極推進,與合作廠商同步,判斷漏洞風險,並聯合制定防禦方案,確保最短時間內對漏洞進行修復。
同時,也鼓勵移動安全聯盟成員積極共用自己的技術力量,讓中國移動廠商能夠成為全球移動安全性漏洞修復的“先行者”。