北京時(shí)間1月22日，“穿云箭”組合漏洞媒體溝通會(huì)于360大廈召開(kāi)。上周，谷歌官方發(fā)文致謝360 Alpha團(tuán)隊(duì)，并向360 Alpha團(tuán)隊(duì)負(fù)責(zé)人龔廣頒發(fā)了總額為112500美金的安卓漏洞獎(jiǎng)勵(lì)計(jì)劃（ASR）史上最高金額的獎(jiǎng)金。360 Alpha團(tuán)隊(duì)在2017年8月向谷歌提交了關(guān)于攻破Pixel手機(jī)的“穿云箭”組合漏洞報(bào)告。

“穿云箭”組合漏洞可以徹底遠(yuǎn)程攻破谷歌Pixel手機(jī)，對(duì)用戶的隱私及財(cái)產(chǎn)安全造成極大的威脅。為了保護(hù)用戶的手機(jī)安全，360 Alpha團(tuán)隊(duì)在17年8月將該組合漏洞報(bào)告給谷歌，已成功幫助其修復(fù)Android 系統(tǒng)和Chrome瀏覽器。

同時(shí)，為了幫助國(guó)內(nèi)廣大手機(jī)廠商減少等待補(bǔ)丁下放時(shí)間，能第一時(shí)間發(fā)現(xiàn)漏洞并進(jìn)行修補(bǔ)。在媒體溝通會(huì)上，360攜手移動(dòng)安全聯(lián)盟（MSA）推出了“先行者”行動(dòng)計(jì)劃。

會(huì)議現(xiàn)場(chǎng)，MSA相關(guān)負(fù)責(zé)人表示：“通過(guò)攜手移動(dòng)安全聯(lián)盟，360能與廠商提前共享漏洞信息，預(yù)先防御，及時(shí)修補(bǔ)漏洞，使移動(dòng)安全防線前移，營(yíng)造良性手機(jī)安全生態(tài)環(huán)境，聯(lián)手保護(hù)手機(jī)用戶的使用安全。”

最難攻破手機(jī)首次被破解 360團(tuán)隊(duì)獲得谷歌ASR史上最高獎(jiǎng)金

“在安全圈內(nèi)，谷歌的Pixel手機(jī)一直被譽(yù)為最難被攻破的手機(jī)，在移動(dòng)安全領(lǐng)域的最高賽事Mobile Pwn2Own 2017黑客大賽也是唯一未被攻破的移動(dòng)設(shè)備。并且，Google Pixel不僅僅沒(méi)有被攻破，竟無(wú)人報(bào)名嘗試挑戰(zhàn)，可見(jiàn)其難度之大。”360助理總裁兼首席安全工程師鄭文彬介紹道。

為了獎(jiǎng)勵(lì)此次360 Alpha團(tuán)隊(duì)為保護(hù)手機(jī)用戶安全做出的貢獻(xiàn)，谷歌向360 Alpha團(tuán)隊(duì)負(fù)責(zé)人龔廣頒發(fā)了總額為112500美金的獎(jiǎng)勵(lì)（包括105000的Android獎(jiǎng)勵(lì)和7500的Chrome獎(jiǎng)勵(lì)），這是自2015年谷歌設(shè)立安卓漏洞獎(jiǎng)勵(lì)計(jì)劃（ASR）三年來(lái)給出的史上最高獎(jiǎng)勵(lì)。

圖：谷歌團(tuán)隊(duì)發(fā)文致謝360團(tuán)隊(duì)

之所以此次Google會(huì)頒發(fā)如此高的獎(jiǎng)金，一方面是由于“穿云箭”組合漏洞的影響面廣，未修復(fù)前大部分安卓手機(jī)都可能會(huì)被黑客利用這個(gè)組合漏洞攻破。另一方面該漏洞是基于底層系統(tǒng)存在的，能影響手機(jī)設(shè)備上所有應(yīng)用，甚至包括電話短信等基礎(chǔ)應(yīng)用，造成的危害最大。不法分子可利用該漏洞獲取用戶短信驗(yàn)證碼、支付應(yīng)用權(quán)限等，對(duì)用戶的個(gè)人隱私和財(cái)產(chǎn)都造成極大威脅。

“但實(shí)際上，360 Alpha 團(tuán)隊(duì)在2017年8月就發(fā)現(xiàn)了‘穿云箭’組合漏洞，并在第一時(shí)間就提交給谷歌官方?！编嵨谋蜻M(jìn)一步補(bǔ)充道。

這兩個(gè)漏洞分別是基于Chrome瀏覽器的V8引擎漏洞CVE-2017-5116，以及Android系統(tǒng)漏洞CVE-2017-14904，是ASR首個(gè)可以遠(yuǎn)程有效利用的系列漏洞。其中，Chrome瀏覽器漏洞CVE-2017-5116可被用于在Chrome瀏覽器沙盒內(nèi)遠(yuǎn)程執(zhí)行代碼。

360攜手移動(dòng)安全聯(lián)盟 讓廠商成為漏洞修補(bǔ)“先行者”

目前，我國(guó)Android系統(tǒng)手機(jī)用戶占比超過(guò)50%，數(shù)量非常龐大。然而由于補(bǔ)丁的下放延遲，導(dǎo)致市場(chǎng)上的Android手機(jī)會(huì)存在漏洞修復(fù)相對(duì)滯后的情況。360手機(jī)衛(wèi)士與中國(guó)泰爾實(shí)驗(yàn)室聯(lián)合發(fā)布的統(tǒng)計(jì)數(shù)據(jù)顯示，在測(cè)試手機(jī)中，平均未修復(fù)漏洞比為19%，平均每款終端含有未修復(fù)漏洞5個(gè)左右。

大多數(shù)手機(jī)廠商，對(duì)于Android系統(tǒng)漏洞的修復(fù)都是在等待谷歌官方的補(bǔ)丁。然而，從白帽子發(fā)現(xiàn)漏洞提交給谷歌，谷歌收到漏洞報(bào)告進(jìn)行修復(fù)，最后下發(fā)補(bǔ)丁給廠商需要一段相對(duì)漫長(zhǎng)的時(shí)間。在這段期間，手機(jī)用戶往往會(huì)因?yàn)楦黝惵┒炊媾R著一定的安全威脅。

圖：谷歌2017漏洞致謝榜

作為國(guó)內(nèi)首屈一指的安全公司，2017年，360在谷歌漏洞致謝榜上，便以超200枚安卓漏洞致謝數(shù)量再次排名榜首，漏洞總數(shù)占本年度安卓致謝總數(shù)的近一半。實(shí)現(xiàn)了谷歌年度漏洞致謝榜單上的三連冠，遙遙領(lǐng)先于趨勢(shì)科技、Google Project Zero等國(guó)際頂級(jí)黑客天團(tuán)。

2017年12月，中國(guó)信息通信研究院泰爾終端實(shí)驗(yàn)室牽頭會(huì)同設(shè)備生產(chǎn)廠商、互聯(lián)網(wǎng)廠商、安全廠商、高等院校共同發(fā)起成立移動(dòng)安全聯(lián)盟（Mobile Security Alliance，簡(jiǎn)稱MSA）。

因此，作為移動(dòng)安全聯(lián)盟理事成員的360，與移動(dòng)安全聯(lián)盟攜手，推出“先行者”行動(dòng)，與移動(dòng)安全聯(lián)盟一起，幫助國(guó)內(nèi)移動(dòng)廠商成為漏洞修補(bǔ)的“先行者”。

未來(lái)，“先行者”行動(dòng)將配合移動(dòng)安全聯(lián)盟漏洞修補(bǔ)相關(guān)計(jì)劃，360在發(fā)現(xiàn)漏洞信息的第一時(shí)間與移動(dòng)安全聯(lián)盟成員共享，從政策、標(biāo)準(zhǔn)、檢測(cè)、修復(fù)、應(yīng)急響應(yīng)等方面積極推進(jìn)，與合作廠商同步，判斷漏洞風(fēng)險(xiǎn)，并聯(lián)合制定防御方案，確保最短時(shí)間內(nèi)對(duì)漏洞進(jìn)行修復(fù)。

同時(shí)，也鼓勵(lì)移動(dòng)安全聯(lián)盟成員積極共享自己的技術(shù)力量，讓中國(guó)移動(dòng)廠商能夠成為全球移動(dòng)安全漏洞修復(fù)的“先行者”。