这是谷歌设立安卓漏洞奖励计划(ASR)三年来给出的史上最高奖励。
1月22日下午,360公司宣布,因2017年8月向谷歌提交了关于攻破Pixel手机的“穿云箭”组合漏洞报告,谷歌官方于上周发文致谢360 Alpha团队,并向360 Alpha团队负责人龚广颁发了总额为112500美金的安卓漏洞奖励计划(ASR)的奖金。
据悉,这是自2015年谷歌设立安卓漏洞奖励计划(ASR)三年来给出的史上最高奖励,其中包括105000的Android奖励和7500的Chrome奖励。
据21世纪经济报道了解,此次Google之所以会颁发如此高的奖金,一方面是由于“穿云箭”组合漏洞的影响面广,未修复前大部分安卓手机都可能会被黑客利用这个组合漏洞攻破。另一方面该漏洞是基于底层系统存在的,能影响手机设备上所有应用,甚至包括电话短信等基础应用,造成的危害最大。不法分子可利用该漏洞获取用户短信验证码、支付应用权限等,对用户的个人隐私和财产都造成极大威胁。
360助理总裁兼首席安全工程师郑文彬表示,“在安全圈内,谷歌的Pixel手机一直被誉为最难被攻破的手机,在移动安全领域的最高赛事Mobile Pwn2Own 2017黑客大赛也是唯一未被攻破的移动设备。并且,Google Pixel不仅仅没有被攻破,竟无人报名尝试挑战,可见其难度之大。”
但2017年8月,360 Alpha 团队发现了“穿云箭”组合漏洞,并在第一时间就提交给谷歌官方。据郑文彬介绍,这两个漏洞分别是基于Chrome浏览器的V8引擎漏洞CVE-2017-5116,以及Android系统漏洞CVE-2017-14904,是ASR首个可以远程有效利用的系列漏洞。其中,Chrome浏览器漏洞CVE-2017-5116可被用于在Chrome浏览器沙盒内远程执行代码。
与此同时,为了帮助国内手机厂商减少等待补丁下放时间,能第一时间发现漏洞并进行修补。360还将携手移动安全联盟(MSA)推出“先行者”行动计划。
MSA相关负责人表示,大多数手机厂商,对于Android系统漏洞的修复都是在等待谷歌官方的补丁。然而,从白帽子发现漏洞提交给谷歌,谷歌收到漏洞报告进行修复,最后下发补丁给厂商需要一段相对漫长的时间。在这段期间,手机用户往往会因为各类漏洞而面临着一定的安全威胁。
因此,2017年12月,中国信息通信研究院泰尔终端实验室牵头会同设备生产厂商、互联网厂商、安全厂商、高等院校共同发起成立移动安全联盟(Mobile Security Alliance,简称MSA)。
未来,“先行者”行动将配合移动安全联盟漏洞修补相关计划,360在发现漏洞信息的第一时间与移动安全联盟成员共享,从政策、标准、检测、修复、应急响应等方面积极推进,与合作厂商同步,判断漏洞风险,并联合制定防御方案,确保最短时间内对漏洞进行修复。
(编辑:李清宇)
分享成功