360专家发现Android漏洞链获11.25万美元奖金

Android Security Rewards（ASR）项目是 Google 于 2015 年启动，主要对那些向公司提交 Android 安全漏洞的安全专家提供奖励。该项目要求专家在运行最新 Android 版的 Pixel 手机和平板上进行测试，然后根据漏洞的危险程度来提供不同的奖金。

在 2017 年 6 月份，项目得到了安全专家和白客的大力支持，Google 表示：“每个 Android 版本包含更多的安全保护，但是已经有两年没有专家获得漏洞链这个顶级大奖了。”不过在上周五，公司终于宣布来自奇虎 360 技术公司的 Guang Gong 赢得了这个大奖，奖金共计达到 11.25 万美元（约合 72 万人民币）。

获奖主要是因为 360 在去年 8 月份向 Google 提交了 CVE-2017-5116 漏洞和 CVE-2017-14904 漏洞，前者允许通过精心制作的 HTML 在沙盒中执行任意远程代码；后者则允许从沙盒中逃脱。

如果将这两个漏洞组合使用，能够允许在 Pixel 的 system_server 进程中远程注入任意代码。而且更糟糕的是，攻击者只需要用户在 Chrome 中点击精心制作的恶意 URL 就能发起攻击。

根据 Google 方面表示，Gong 将会从 ASR 项目中获得 10.5 万美元奖金，这也是该项目颁布的最高奖金。此外的 7500 美元来自于 Chrome Rewards 项目，该项目于 2010 年启动，主要奖励那些向公司提交 Chrome 和 Chrome OS 安全漏洞的专家。