学习
实践
活动
专区
工具
TVP
写文章

360发现安卓“穿云箭”组合漏洞

1月22日,360公司召开“穿云箭”组合漏洞媒体沟通会。就在上周,谷歌官方发文致谢360 Alpha团队,并向其负责人龚广颁发了总额为112500美金的安卓漏洞奖励计划史上最高金额的奖金。

据了解,“穿云箭”组合漏洞可以彻底远程攻破谷歌Pixel手机,对用户的隐私及财产安全造成极大的威胁。为了保护用户的手机安全,360 Alpha团队在2017年8月将该组合漏洞报告给谷歌,已成功帮助其修复安卓系统和谷歌浏览器。

同时,为了帮助国内广大手机厂商减少等待补丁下放时间,能第一时间发现漏洞并进行修补。在媒体沟通会上,360携手移动安全联盟推出了“先行者”行动计划。

移动安全联盟相关负责人表示:“通过携手移动安全联盟,360能与厂商提前共享漏洞信息,预先防御,及时修补漏洞,使移动安全防线前移,营造良性手机安全生态环境,联手保护手机用户的使用安全。”

据360助理总裁兼首席安全工程师郑文彬介绍,在安全圈内,谷歌的Pixel手机一直被誉为最难被攻破的手机,在移动安全领域的最高赛事Mobile Pwn2Own 2017黑客大赛也是唯一未被攻破的移动设备。并且,Google Pixel不仅仅没有被攻破,竟无人报名尝试挑战,可见其难度之大。

也正因为如此,谷歌向360 Alpha团队负责人龚广颁发了总额为112500美金的奖励,这是自2015年谷歌设立安卓漏洞奖励计划三年来给出的史上最高奖励。

之所以此次谷歌会颁发如此高的奖金,一方面是由于“穿云箭”组合漏洞的影响面广,未修复前大部分安卓手机都可能会被黑客利用这个组合漏洞攻破。另一方面该漏洞是基于底层系统存在的,能影响手机设备上所有应用,甚至包括电话短信等基础应用,造成的危害最大。不法分子可利用该漏洞获取用户短信验证码、支付应用权限等,对用户的个人隐私和财产都造成极大威胁。

“但实际上,360 Alpha 团队在2017年8月就发现了‘穿云箭’组合漏洞,并在第一时间就提交给谷歌官方。”郑文彬进一步补充道。

目前,我国安卓系统手机用户占比超过50%,数量非常庞大。然而由于补丁的下放延迟,导致市场上的安卓手机会存在漏洞修复相对滞后的情况。360手机卫士与中国泰尔实验室联合发布的统计数据显示,在测试手机中,平均未修复漏洞比为19%,平均每款终端含有未修复漏洞5个左右。

大多数手机厂商,对于安卓系统漏洞的修复都是在等待谷歌官方的补丁。然而,从白帽子发现漏洞提交给谷歌,谷歌收到漏洞报告进行修复,最后下发补丁给厂商需要一段相对漫长的时间。在这段期间,手机用户往往会因为各类漏洞而面临着一定的安全威胁。

2017年,360在谷歌漏洞致谢榜上以超200枚安卓漏洞致谢数量再次排名榜首,漏洞总数占本年度安卓致谢总数的近一半。实现了谷歌年度漏洞致谢榜单上的三连冠,遥遥领先于其他国际顶级黑客天团。

2017年12月,中国信息通信研究院泰尔终端实验室牵头会同设备生产厂商、互联网厂商、安全厂商、高等院校共同发起成立移动安全联盟。

因此,作为移动安全联盟理事成员的360,与移动安全联盟携手,推出“先行者”行动,与移动安全联盟一起,帮助国内移动厂商成为漏洞修补的“先行者”。未来,“先行者”行动将配合移动安全联盟漏洞修补相关计划,360在发现漏洞信息的第一时间与移动安全联盟成员共享,从政策、标准、检测、修复、应急响应等方面积极推进,与合作厂商同步,判断漏洞风险,并联合制定防御方案,确保最短时间内对漏洞进行修复。

同时,也鼓励移动安全联盟成员积极共享自己的技术力量,让中国移动厂商能够成为全球移动安全漏洞修复的“先行者”。

(责编:闫伟奇)

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180123A0D1C400?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

关注

腾讯云开发者公众号
10元无门槛代金券
洞察腾讯核心技术
剖析业界实践案例
腾讯云开发者公众号二维码

扫码关注腾讯云开发者

领取腾讯云代金券