1月22日,“穿云箭”組合漏洞媒體溝通會于360大廈召開。上周,谷歌官方發(fā)文致謝360 Alpha團(tuán)隊(duì),并向360 Alpha團(tuán)隊(duì)負(fù)責(zé)人龔廣頒發(fā)了總額為112500美金的安卓漏洞獎勵計(jì)劃(ASR)史上最高金額的獎金。360 Alpha團(tuán)隊(duì)在2017年8月向谷歌提交了關(guān)于攻破Pixel手機(jī)的“穿云箭”組合漏洞報(bào)告。
“穿云箭”組合漏洞可以徹底遠(yuǎn)程攻破谷歌Pixel手機(jī),對用戶的隱私及財(cái)產(chǎn)安全造成極大的威脅。為了保護(hù)用戶的手機(jī)安全,360 Alpha團(tuán)隊(duì)在17年8月將該組合漏洞報(bào)告給谷歌,已成功幫助其修復(fù)Android 系統(tǒng)和Chrome瀏覽器。
同時(shí),為了幫助國內(nèi)廣大手機(jī)廠商減少等待補(bǔ)丁下放時(shí)間,能第一時(shí)間發(fā)現(xiàn)漏洞并進(jìn)行修補(bǔ)。在媒體溝通會上,360攜手移動安全聯(lián)盟(MSA)推出了“先行者”行動計(jì)劃。
會議現(xiàn)場,MSA相關(guān)負(fù)責(zé)人表示:“通過攜手移動安全聯(lián)盟,360能與廠商提前共享漏洞信息,預(yù)先防御,及時(shí)修補(bǔ)漏洞,使移動安全防線前移,營造良性手機(jī)安全生態(tài)環(huán)境,聯(lián)手保護(hù)手機(jī)用戶的使用安全。”
最難攻破手機(jī)首次被破解 360團(tuán)隊(duì)獲得谷歌ASR史上最高獎金
“在安全圈內(nèi),谷歌的Pixel手機(jī)一直被譽(yù)為最難被攻破的手機(jī),在移動安全領(lǐng)域的最高賽事Mobile Pwn2Own 2017黑客大賽也是唯一未被攻破的移動設(shè)備。并且,Google Pixel不僅僅沒有被攻破,竟無人報(bào)名嘗試挑戰(zhàn),可見其難度之大。”360助理總裁兼首席安全工程師鄭文彬介紹道。
為了獎勵此次360 Alpha團(tuán)隊(duì)為保護(hù)手機(jī)用戶安全做出的貢獻(xiàn),谷歌向360 Alpha團(tuán)隊(duì)負(fù)責(zé)人龔廣頒發(fā)了總額為112500美金的獎勵(包括105000的Android獎勵和7500的Chrome獎勵),這是自2015年谷歌設(shè)立安卓漏洞獎勵計(jì)劃(ASR)三年來給出的史上最高獎勵。
谷歌團(tuán)隊(duì)發(fā)文致謝360團(tuán)隊(duì)
之所以此次Google會頒發(fā)如此高的獎金,一方面是由于“穿云箭”組合漏洞的影響面廣,未修復(fù)前大部分安卓手機(jī)都可能會被黑客利用這個(gè)組合漏洞攻破。另一方面該漏洞是基于底層系統(tǒng)存在的,能影響手機(jī)設(shè)備上所有應(yīng)用,甚至包括電話短信等基礎(chǔ)應(yīng)用,造成的危害最大。不法分子可利用該漏洞獲取用戶短信驗(yàn)證碼、支付應(yīng)用權(quán)限等,對用戶的個(gè)人隱私和財(cái)產(chǎn)都造成極大威脅。
“但實(shí)際上,360 Alpha 團(tuán)隊(duì)在2017年8月就發(fā)現(xiàn)了‘穿云箭’組合漏洞,并在第一時(shí)間就提交給谷歌官方。”鄭文彬進(jìn)一步補(bǔ)充道。
這兩個(gè)漏洞分別是基于Chrome瀏覽器的V8引擎漏洞CVE-2017-5116,以及Android系統(tǒng)漏洞CVE-2017-14904,是ASR首個(gè)可以遠(yuǎn)程有效利用的系列漏洞。其中,Chrome瀏覽器漏洞CVE-2017-5116可被用于在Chrome瀏覽器沙盒內(nèi)遠(yuǎn)程執(zhí)行代碼。
360攜手移動安全聯(lián)盟 讓廠商成為漏洞修補(bǔ)“先行者”
目前,我國Android系統(tǒng)手機(jī)用戶占比超過50%,數(shù)量非常龐大。然而由于補(bǔ)丁的下放延遲,導(dǎo)致市場上的Android手機(jī)會存在漏洞修復(fù)相對滯后的情況。360手機(jī)衛(wèi)士與中國泰爾實(shí)驗(yàn)室聯(lián)合發(fā)布的統(tǒng)計(jì)數(shù)據(jù)顯示,在測試手機(jī)中,平均未修復(fù)漏洞比為19%,平均每款終端含有未修復(fù)漏洞5個(gè)左右。
大多數(shù)手機(jī)廠商,對于Android系統(tǒng)漏洞的修復(fù)都是在等待谷歌官方的補(bǔ)丁。然而,從白帽子發(fā)現(xiàn)漏洞提交給谷歌,谷歌收到漏洞報(bào)告進(jìn)行修復(fù),最后下發(fā)補(bǔ)丁給廠商需要一段相對漫長的時(shí)間。在這段期間,手機(jī)用戶往往會因?yàn)楦黝惵┒炊媾R著一定的安全威脅。
谷歌2017漏洞致謝榜
作為國內(nèi)首屈一指的安全公司,2017年,360在谷歌漏洞致謝榜上,便以超200枚安卓漏洞致謝數(shù)量再次排名榜首,漏洞總數(shù)占本年度安卓致謝總數(shù)的近一半。實(shí)現(xiàn)了谷歌年度漏洞致謝榜單上的三連冠,遙遙領(lǐng)先于趨勢科技、Google Project Zero等國際頂級黑客天團(tuán)。
2017年12月,中國信息通信研究院泰爾終端實(shí)驗(yàn)室牽頭會同設(shè)備生產(chǎn)廠商、互聯(lián)網(wǎng)廠商、安全廠商、高等院校共同發(fā)起成立移動安全聯(lián)盟(Mobile Security Alliance,簡稱MSA)。
因此,作為移動安全聯(lián)盟理事成員的360,與移動安全聯(lián)盟攜手,推出“先行者”行動,與移動安全聯(lián)盟一起,幫助國內(nèi)移動廠商成為漏洞修補(bǔ)的“先行者”。
未來,“先行者”行動將配合移動安全聯(lián)盟漏洞修補(bǔ)相關(guān)計(jì)劃,360在發(fā)現(xiàn)漏洞信息的第一時(shí)間與移動安全聯(lián)盟成員共享,從政策、標(biāo)準(zhǔn)、檢測、修復(fù)、應(yīng)急響應(yīng)等方面積極推進(jìn),與合作廠商同步,判斷漏洞風(fēng)險(xiǎn),并聯(lián)合制定防御方案,確保最短時(shí)間內(nèi)對漏洞進(jìn)行修復(fù)。
同時(shí),也鼓勵移動安全聯(lián)盟成員積極共享自己的技術(shù)力量,讓中國移動廠商能夠成為全球移動安全漏洞修復(fù)的“先行者”。
