360发现安卓“穿云箭”组合漏洞 携手MSA推先行者行动

1评论 2018-01-22 15:23:18 来源:中国新闻网 下一只“省广集团”

  中新网1月22日电北京时间1月22日,“穿云箭”组合漏洞媒体沟通会于360大厦召开。上周,谷歌官方发文致谢360 Alpha团队,并向360 Alpha团队负责人龚广颁发了总额为112500美金的安卓漏洞奖励计划(ASR)史上最高金额的奖金。360 Alpha团队在2017年8月向谷歌提交了关于攻破Pixel手机的“穿云箭”组合漏洞报告。

  “穿云箭”组合漏洞可以彻底远程攻破谷歌Pixel手机,对用户的隐私及财产安全造成极大的威胁。为了保护用户的手机安全,360 Alpha团队在17年8月将该组合漏洞报告给谷歌,已成功帮助其修复Android 系统和Chrome浏览器。

  同时,为了帮助国内广大手机厂商减少等待补丁下放时间,能第一时间发现漏洞并进行修补。在媒体沟通会上,360携手移动安全联盟(MSA)推出了“先行者”行动计划。

  会议现场,MSA相关负责人表示:“通过携手移动安全联盟,360能与厂商提前共享漏洞信息,预先防御,及时修补漏洞,使移动安全防线前移,营造良性手机安全生态环境,联手保护手机用户的使用安全。”

  最难攻破手机首次被破解 360团队获得谷歌ASR史上最高奖金

  “在安全圈内,谷歌的Pixel手机一直被誉为最难被攻破的手机,在移动安全领域的最高赛事Mobile Pwn2Own 2017黑客大赛也是唯一未被攻破的移动设备。并且,Google Pixel不仅仅没有被攻破,竟无人报名尝试挑战,可见其难度之大。”360助理总裁兼首席安全工程师郑文彬介绍道。

  为了奖励此次360 Alpha团队为保护手机用户安全做出的贡献,谷歌向360 Alpha团队负责人龚广颁发了总额为112500美金的奖励(包括105000的Android奖励和7500的Chrome奖励),这是自2015年谷歌设立安卓漏洞奖励计划(ASR)三年来给出的史上最高奖励。

  谷歌团队发文致谢360团队 之所以此次Google会颁发如此高的奖金,一方面是由于“穿云箭”组合漏洞的影响面广,未修复前大部分安卓手机都可能会被黑客利用这个组合漏洞攻破。另一方面该漏洞是基于底层系统存在的,能影响手机设备上所有应用,甚至包括电话短信等基础应用,造成的危害最大。不法分子可利用该漏洞获取用户短信验证码、支付应用权限等,对用户的个人隐私和财产都造成极大威胁。

  “但实际上,360 Alpha 团队在2017年8月就发现了‘穿云箭’组合漏洞,并在第一时间就提交给谷歌官方。”郑文彬进一步补充道。

  这两个漏洞分别是基于Chrome浏览器的V8引擎漏洞CVE-2017-5116,以及Android系统漏洞CVE-2017-14904,是ASR首个可以远程有效利用的系列漏洞。其中,Chrome浏览器漏洞CVE-2017-5116可被用于在Chrome浏览器沙盒内远程执行代码。

  360携手移动安全联盟 让厂商成为漏洞修补“先行者”

  目前,我国Android系统手机用户占比超过50%,数量非常庞大。然而由于补丁的下放延迟,导致市场上的Android手机会存在漏洞修复相对滞后的情况。360手机卫士与中国泰尔实验室联合发布的统计数据显示,在测试手机中,平均未修复漏洞比为19%,平均每款终端含有未修复漏洞5个左右。

  大多数手机厂商,对于Android系统漏洞的修复都是在等待谷歌官方的补丁。然而,从白帽子发现漏洞提交给谷歌,谷歌收到漏洞报告进行修复,最后下发补丁给厂商需要一段相对漫长的时间。在这段期间,手机用户往往会因为各类漏洞而面临着一定的安全威胁。

  谷歌2017漏洞致谢榜 作为国内首屈一指的安全公司,2017年,360在谷歌漏洞致谢榜上,便以超200枚安卓漏洞致谢数量再次排名榜首,漏洞总数占本年度安卓致谢总数的近一半。实现了谷歌年度漏洞致谢榜单上的三连冠,遥遥领先于趋势科技、Google Project Zero等国际顶级黑客天团。

  2017年12月,中国信息通信研究院泰尔终端实验室牵头会同设备生产厂商、互联网厂商、安全厂商、高等院校共同发起成立移动安全联盟(Mobile Security Alliance,简称MSA)。

  因此,作为移动安全联盟理事成员的360,与移动安全联盟携手,推出“先行者”行动,与移动安全联盟一起,帮助国内移动厂商成为漏洞修补的“先行者”。

  未来,“先行者”行动将配合移动安全联盟漏洞修补相关计划,360在发现漏洞信息的第一时间与移动安全联盟成员共享,从政策、标准、检测、修复、应急响应等方面积极推进,与合作厂商同步,判断漏洞风险,并联合制定防御方案,确保最短时间内对漏洞进行修复。

  同时,也鼓励移动安全联盟成员积极共享自己的技术力量,让中国移动厂商能够成为全球移动安全漏洞修复的“先行者”。

责任编辑:Robot RF13015
快来分享:
评论 已有 0 条评论
精彩推荐
大转折!"负油价"冲击仍未平息 原油已从地狱走入天堂

2020-06-04 10:39:15来源:券商中国

27地设摊贩规范点发展地摊经济 网友:好有烟火气

2020-06-04 00:01:00来源:中新经纬

深圳楼市表现分化 新房市场暗流涌动

2020-06-04 02:28:58来源:证券时报

一张经济舱机票炒到十万八万 留学产业"疫"发艰难

2020-06-04 10:45:05来源:e公司官微

瑞幸之后 这家咖啡也开始关店!papi酱、李诞代言 曾一天卖出40万杯

2020-06-04 07:52:09来源:每日经济新闻

摆摊概念股火爆继续!五菱汽车又飙涨60% 但这个城市有夜市突然暂停 为啥?

2020-06-04 11:50:55来源:每日经济新闻

“地摊经济”爆火!为什么要在此时大力推动?最新专家十问十答

2020-06-04 06:28:46来源:凤凰网财经

历史性时刻!余额宝比1年定期赚钱少 货基总规模却飙升超万亿

2020-06-04 08:14:12来源:中国基金报

张平:中美之间航班什么时候通航?你会担心吗?

2020-06-03 09:51:02来源:金融界网站

刚刚获批!可投新三板公募基金来了:华夏南方汇添富富国招商万家"拔头筹"

2020-06-03 19:38:00来源:中国基金报

欧洲疯抢中国自行车,俄罗斯销量暴增60倍,单车概念股要火?

2020-06-04 14:07:36来源:财联社

郭施亮:A股“逢缺必补”魔咒上演 这次是先向上补缺还是向下补缺?

2020-06-03 09:40:00来源:金融界网站

商务部:24条举措支持湖北自贸区加速发展

2020-06-04 15:43:43来源:金融界网站

杜坤维:T+0交易难有赚钱快感不是牛市导火索

2020-06-03 09:16:06来源:金融界网站

抱上“地摊经济”的大腿 百货龙头喜提两涨停 背后的深圳前首富早已躺赚100亿

2020-06-03 09:48:55来源:财经女记者部落

金融时报署名文章:中国本轮刺激无需惧怕后遗症

2020-06-04 09:01:28来源:中新经纬

地摊经济风口下!电商巨头争抢市场红利 专家呼吁发展数字化经营

2020-06-04 13:05:52来源:财联社

调查 | 维生素高位回调:下游整体需求平淡 利润丰厚引新人入局 “低价出货”

2020-06-04 13:07:38来源:财联社

“删除中国手机应用”推出不到3周被下架 谷歌:不应误导用户删除第三方应用

2020-06-04 11:15:33来源:中国科技新闻网

民航局调整国际客运航班

2020-06-04 09:42:23来源:金融界网站

加载更多

更多>> 以下为您的最近访问股
实时热点