北京時間1月22日，“穿云箭”組合漏洞媒體溝通會于360大廈召開。上周，谷歌官方發(fā)文致謝360 Alpha團(tuán)隊，并向360 Alpha團(tuán)隊負(fù)責(zé)人龔廣頒發(fā)了總額為112500美金的安卓漏洞獎勵計劃（ASR）史上最高金額的獎金。360 Alpha團(tuán)隊在2017年8月向谷歌提交了關(guān)于攻破Pixel手機(jī)的“穿云箭”組合漏洞報告。

“穿云箭”組合漏洞可以徹底遠(yuǎn)程攻破谷歌Pixel手機(jī)，對用戶的隱私及財產(chǎn)安全造成極大的威脅。為了保護(hù)用戶的手機(jī)安全，360 Alpha團(tuán)隊在17年8月將該組合漏洞報告給谷歌，已成功幫助其修復(fù)Android 系統(tǒng)和Chrome瀏覽器。

同時，為了幫助國內(nèi)廣大手機(jī)廠商減少等待補(bǔ)丁下放時間，能第一時間發(fā)現(xiàn)漏洞并進(jìn)行修補(bǔ)。在媒體溝通會上，360攜手移動安全聯(lián)盟（MSA）推出了“先行者”行動計劃。

會議現(xiàn)場，MSA相關(guān)負(fù)責(zé)人表示：“通過攜手移動安全聯(lián)盟，360能與廠商提前共享漏洞信息，預(yù)先防御，及時修補(bǔ)漏洞，使移動安全防線前移，營造良性手機(jī)安全生態(tài)環(huán)境，聯(lián)手保護(hù)手機(jī)用戶的使用安全?！?/span>

最難攻破手機(jī)首次被破解 360團(tuán)隊獲得谷歌ASR史上最高獎金

“在安全圈內(nèi)，谷歌的Pixel手機(jī)一直被譽(yù)為最難被攻破的手機(jī)，在移動安全領(lǐng)域的最高賽事Mobile Pwn2Own 2017黑客大賽也是唯一未被攻破的移動設(shè)備。并且，Google Pixel不僅僅沒有被攻破，竟無人報名嘗試挑戰(zhàn)，可見其難度之大?！?60助理總裁兼首席安全工程師鄭文彬介紹道。

為了獎勵此次360 Alpha團(tuán)隊為保護(hù)手機(jī)用戶安全做出的貢獻(xiàn)，谷歌向360 Alpha團(tuán)隊負(fù)責(zé)人龔廣頒發(fā)了總額為112500美金的獎勵（包括105000的Android獎勵和7500的Chrome獎勵），這是自2015年谷歌設(shè)立安卓漏洞獎勵計劃（ASR）三年來給出的史上最高獎勵。

圖：谷歌團(tuán)隊發(fā)文致謝360團(tuán)隊

之所以此次Google會頒發(fā)如此高的獎金，一方面是由于“穿云箭”組合漏洞的影響面廣，未修復(fù)前大部分安卓手機(jī)都可能會被黑客利用這個組合漏洞攻破。另一方面該漏洞是基于底層系統(tǒng)存在的，能影響手機(jī)設(shè)備上所有應(yīng)用，甚至包括電話短信等基礎(chǔ)應(yīng)用，造成的危害最大。不法分子可利用該漏洞獲取用戶短信驗(yàn)證碼、支付應(yīng)用權(quán)限等，對用戶的個人隱私和財產(chǎn)都造成極大威脅。

“但實(shí)際上，360 Alpha 團(tuán)隊在2017年8月就發(fā)現(xiàn)了‘穿云箭’組合漏洞，并在第一時間就提交給谷歌官方?！编嵨谋蜻M(jìn)一步補(bǔ)充道。

這兩個漏洞分別是基于Chrome瀏覽器的V8引擎漏洞CVE-2017-5116，以及Android系統(tǒng)漏洞CVE-2017-14904，是ASR首個可以遠(yuǎn)程有效利用的系列漏洞。其中，Chrome瀏覽器漏洞CVE-2017-5116可被用于在Chrome瀏覽器沙盒內(nèi)遠(yuǎn)程執(zhí)行代碼。

360攜手移動安全聯(lián)盟 讓廠商成為漏洞修補(bǔ)“先行者”

目前，我國Android系統(tǒng)手機(jī)用戶占比超過50%，數(shù)量非常龐大。然而由于補(bǔ)丁的下放延遲，導(dǎo)致市場上的Android手機(jī)會存在漏洞修復(fù)相對滯后的情況。360手機(jī)衛(wèi)士與中國泰爾實(shí)驗(yàn)室聯(lián)合發(fā)布的統(tǒng)計數(shù)據(jù)顯示，在測試手機(jī)中，平均未修復(fù)漏洞比為19%，平均每款終端含有未修復(fù)漏洞5個左右。

大多數(shù)手機(jī)廠商，對于Android系統(tǒng)漏洞的修復(fù)都是在等待谷歌官方的補(bǔ)丁。然而，從白帽子發(fā)現(xiàn)漏洞提交給谷歌，谷歌收到漏洞報告進(jìn)行修復(fù)，最后下發(fā)補(bǔ)丁給廠商需要一段相對漫長的時間。在這段期間，手機(jī)用戶往往會因?yàn)楦黝惵┒炊媾R著一定的安全威脅。

圖：谷歌2017漏洞致謝榜

作為國內(nèi)首屈一指的安全公司，2017年，360在谷歌漏洞致謝榜上，便以超200枚安卓漏洞致謝數(shù)量再次排名榜首，漏洞總數(shù)占本年度安卓致謝總數(shù)的近一半。實(shí)現(xiàn)了谷歌年度漏洞致謝榜單上的三連冠，遙遙領(lǐng)先于趨勢科技、Google Project Zero等國際頂級黑客天團(tuán)。

2017年12月，中國信息通信研究院泰爾終端實(shí)驗(yàn)室牽頭會同設(shè)備生產(chǎn)廠商、互聯(lián)網(wǎng)廠商、安全廠商、高等院校共同發(fā)起成立移動安全聯(lián)盟（Mobile Security Alliance，簡稱MSA）。

因此，作為移動安全聯(lián)盟理事成員的360，與移動安全聯(lián)盟攜手，推出“先行者”行動，與移動安全聯(lián)盟一起，幫助國內(nèi)移動廠商成為漏洞修補(bǔ)的“先行者”。

未來，“先行者”行動將配合移動安全聯(lián)盟漏洞修補(bǔ)相關(guān)計劃，360在發(fā)現(xiàn)漏洞信息的第一時間與移動安全聯(lián)盟成員共享，從政策、標(biāo)準(zhǔn)、檢測、修復(fù)、應(yīng)急響應(yīng)等方面積極推進(jìn)，與合作廠商同步，判斷漏洞風(fēng)險，并聯(lián)合制定防御方案，確保最短時間內(nèi)對漏洞進(jìn)行修復(fù)。

同時，也鼓勵移動安全聯(lián)盟成員積極共享自己的技術(shù)力量，讓中國移動廠商能夠成為全球移動安全漏洞修復(fù)的“先行者”。