360专家发现Android漏洞链 获11.25万美元奖金

Android Security Rewards（ASR）项目是Google于2015年启动，主要对那些向公司提交Android安全漏洞的安全专家提供奖励。该项目要求专家在运行最新Android版的Pixel手机和平板上进行测试，然后根据漏洞的危险程度来提供不同的奖金。

在2017年6月份，项目得到了安全专家和白客的大力支持，Google表示：“每个Android版本包含更多的安全保护，但是已经有两年没有专家获得漏洞链这个顶级大奖了。”不过在上周五，公司终于宣布来自奇虎360技术公司的Guang Gong赢得了这个大奖，奖金共计达到11.25万美元（约合72万人民币）。

获奖主要是因为360在去年8月份向Google提交了CVE-2017-5116漏洞和CVE-2017-14904漏洞，前者允许通过精心制作的HTML在沙盒中执行任意远程代码；后者则允许从沙盒中逃脱。

如果将这两个漏洞组合使用，能够允许在Pixel的system_server进程中远程注入任意代码。而且更糟糕的是，攻击者只需要用户在Chrome中点击精心制作的恶意URL就能发起攻击。

根据Google方面表示，Gong将会从ASR项目中获得10.5万美元奖金，这也是该项目颁布的最高奖金。此外的7500美元来自于Chrome Rewards项目，该项目于2010年启动，主要奖励那些向公司提交Chrome和Chrome OS安全漏洞的专家。