快捷搜索:  test  as

谷歌盘点2017年漏洞奖励计划 公开致谢360安全团队

近日,谷歌颁发了2017年破绽奖励计划总结申报,公开2017年破绽奖励计划的数据、最紧张的破绽项目以及对付安卓系统和Google Play的破绽奖励改进计划。申报显示,2017年谷歌向274名安然专家发放了共计290万美元的奖励,此中360 Alpha团队龚广申报的“穿云箭”组合破绽,拿到了 自2015年谷歌设立安卓破绽奖励计划(ASR)三年来给出的史上最高奖励——11.25万美元,并得到了谷歌公司的郑重谢谢。

“穿云箭”组合破绽的提交成为谷歌破绽奖励筹整洁大年夜亮点

谷歌公开的申报中总结了2017年破绽奖励计划里,最为“出彩”、最有亮点的几个项目,此中重要阐明的便是360 Alpha 团队龚广向谷歌提交的Pixel手机“穿云箭”组合破绽。

龚广在2017年8月就发清楚明了 “穿云箭”破绽链,并在第一光阴提交给谷歌官方。这两个破绽分手是基于Chrome浏览器的V8引擎破绽和Android系统破绽,是ASR史上首个可以远程有效使用的系列破绽。此中,Chrome浏览器破绽CVE-2017-5116可被用于在Chrome浏览器沙箱内远程履行代码。

使用这两个破绽组合,黑客只必要让网夷易近造访浏览器的一个恶意网址,就能奇妙穿透Chrome沙盒,直接在系统底层履行随意率性代码,周全节制谷歌Pixel手机。不仅通讯录、短信、照片、视频等隐私信息可以被偷取,黑客以致还能操控手机进行录音、窃听等,更为危险的是,用户手机中的支付信息,也可能被黑客“收入囊中”,手机已然成为黑客的钱袋子。

在安然圈内,谷歌的Pixel手机不停被誉为最难被攻破的手机,在移动安然领域的最高赛事Mobile Pwn2Own 2017黑客大年夜赛也是独一未被攻破的移动设备。在iPhone 7、Samsung Galaxy S8、华为Mate9 pro纷繁掉守的环境下,只有Google Pixel没有被攻破。并且,Google Pixel不仅仅没有被攻破,竟无人报名考试测验寻衅,可见其难度之大年夜,难怪谷歌为“穿云箭”付出了高达11.25万美元的破绽奖金,这是自2015年谷歌设立安卓破绽奖励计划(ASR)三年来给出的史上最高奖励。

而领取这笔奖金的安然钻研员龚广,是360 Alpha团队认真人,自称老鲜肉。他在有名黑客大年夜赛中攻破手机拿“一血”是习以为常。龚广曾创造了一年光阴内在国际四大年夜有名黑客比赛(Mobile Pwn2Own2015、Pwn0rama2016、Pwn2Own 2016、PwnFest2016)中赢得大年夜满贯的业内传奇,创造了多次举世首个成功攻破谷歌亲儿子——Nexus系列手机的记录。

360获谷歌破绽申谢榜三连冠 移动安然领域实力刁悍

在谷歌2017整年的榜单中,360凭借227次安卓申谢和6次Chrome申谢再登榜首,远超谷歌自家的机械掘客大年夜军和黑客天团Google Project Zero。值得一提的是,这已经是自2015年谷歌公布破绽申谢以来360第三年留任冠军,展现了在移动安然领域的刁悍实力。

今朝,我国安卓系统手机用户占比跨越50%,数量异常宏大年夜。但据360互联网安然中间宣布的《2017年度安卓系统安然性生态情况钻研申报》显示,九成以上的安卓设备存在高危系统破绽。大年夜安然期间,收集安然会影响生活的方方面面。手机破绽一旦被造孽分子使用,用户小我隐私以致是家当、人身安然都将受到要挟,严重环境下,社会安然、国家安然都有可能被一个破绽武器进击。

严酷的安然形势下,系统厂商、手机厂商与安然厂商、安然钻研员等多方必要通力合作,共铸安然合营体。作为海内最大年夜的互联网安然公司,360在破绽掘客事情上竭尽全力,第一光阴与系统厂商联袂,以最快速率封堵安然破绽,合营掩护大年夜安然生态平衡,为安然生态良性互动树立典范。

您可能还会对下面的文章感兴趣: