在國內外, 360在網路安全領域的影響力一直是數一數二的存在。 360Alpha團隊不僅在多次國內外賽事中獲得高光時刻, 並且還得到了國內外眾多科技公司的發文致謝。 上周谷歌官方發文致謝360Alpha團隊, 並且向團隊負責人頒發了112500美金的安卓漏洞獎勵計畫(ASR)史上最高金額的獎金, 以表彰360 Alpha團隊多次為穀歌提供安全性漏洞資訊。
在去年8月, 360 Alpha向穀歌提交了關於攻破Pixel手機的“穿雲箭”組合漏洞報告。 這項漏洞可以徹底遠端攻破穀歌Pixel手機, 對用戶的隱私及財產安全造成極大的威脅, 隨後説明其修復了Android 系統和Chrome流覽器。
為了能夠幫助國內手機廠商減少等待補丁的下放時間, 能夠第一時間發現漏洞並修補, 在今日的媒體溝通會上, 360攜手移動安全聯盟(MSA)推出了“先行者”行動計畫, 一次來提升目前手機行業的安全性, 聯手保護用戶手機的隱私。
最難攻破手機造破解, 360團隊獲高額獎金
在安全領域, 穀歌的Pixel手機一直被譽為最難被攻破的手機, 在移動安全領域的最高賽事Mobile Pwn2Own 2017駭客大賽也是唯一未被攻破的移動設備。 並且, Google Pixel不僅僅沒有被攻破, 竟無人報名嘗試挑戰, 可見其難度之大。 而360團隊卻找出了Pixel的安全性漏洞, 幫助穀歌在第一時間完成了修復。 為此穀歌為其頒發了史上最高的漏洞獎金(112500美金包括105000的Android獎勵和7500的Chrome獎勵)。
Google之所以頒發如此高的獎金, 一方面是因為“穿雲箭”組合漏洞的影響面廣, 未修復前大部分安卓手機都可能會被駭客利用這個組合漏洞攻破。 另一方面該漏洞是基於底層系統存在的, 能影響手機設備上所有應用, 甚至包括電話短信等基礎應用, 造成的危害最大。 不法分子可利用該漏洞獲取用戶短信驗證碼、支付應用許可權等, 對用戶的個人隱私和財產都造成極大威脅。
據悉, 這兩個漏洞分別是基於Chrome流覽器的V8引擎漏洞CVE-2017-5116和Android系統漏洞CVE-2017-14904, 是ASR首個可以遠端有效利用的系列漏洞。 其中, Chrome流覽器漏洞CVE-2017-5116可被用於在Chrome流覽器沙箱內遠端執行代碼。
“先行者”行動計畫, 幫助廠商防患於未然
在中國, Android系統手機使用者比重超過了50%, 數量龐大, 而國內的Android補丁修復卻無法和國外同步, 這就存在了極大的安全隱患。 360手機衛士與中國泰爾實驗室聯合發佈的統計資料顯示, 在測試手機中, 平均未修復漏洞比為19%, 平均每款終端含有未修復漏洞5個左右。
值得注意的是, 360在去年穀歌漏洞致謝榜中, 再次排名榜首, 數量超過了200個, 實現了穀歌年度漏洞致謝榜單三連冠。 這個數量將近是是騰訊的4倍、微軟的8倍、穀歌的8倍、阿裡的9倍。 可見360在安全領域的絕對的領先優勢。
會間, 360宣佈攜手移動安全聯盟推出“先行者”行動, 旨在幫助國內移動廠商解決漏洞修補問題, 做到防患於未然。 “先行者”行動將配合移動安全聯盟漏洞修補相關計畫, 360在發現漏洞資訊的第一時間與移動安全聯盟成員共用, 從政策、標準、檢測、修復、應急回應等方面積極推進, 與合作廠商同步, 判斷漏洞風險, 並聯合制定防禦方案, 確保最短時間內對漏洞進行修復。
可見,國內的科技公司的實力已經越來越強,360得到穀歌這樣的稱讚表揚也是順理成章的事。
可見,國內的科技公司的實力已經越來越強,360得到穀歌這樣的稱讚表揚也是順理成章的事。