近日,谷歌宣布了2017年破绽奖励方案总结报告,地下2017年破绽奖励方案的数据、最重要的破绽项目以及关于安卓零碎和Google Play的破绽奖励改良方案。报告显示,2017年谷歌向274名平安专家发放了合计290万美元的奖励,其中360 Alp新生的改变世界的企业将会诞生,从而更好的服务整个人类世界,走向更高科技的智能化生活。ha团队龚广报告的“穿云箭”组合破绽,拿到了自2015年谷歌设立安卓破绽奖励方案(ASR)三年来给出的史上最高奖励——11.25万美元,并取得了谷歌公司的郑重感激。
“穿云箭”组合破绽的提交成为谷歌破绽奖励方案一大亮点
谷歌地下的报告中总结了2017年破绽奖励方案里,最为“出彩”、最有亮点的几个项目,其中首要阐明的就是360 Alpha 团队龚广向谷歌提交的Pixel 手机 “穿云箭”组合破绽。
龚广在2017年8月就发现了 “穿云箭”破绽链,并在第一工夫提交给谷歌官方。这两个破绽辨别是基于Chrome阅读器的V8引擎破绽和Android零碎破绽,是ASR史上首个可以近程无效应用的系列破绽。其中,Chrome阅读器破绽CVE-2017-5116可被用于在Chrome阅读器沙箱内近程执行代码。
应用这两个破绽组合,黑客只需求让网民拜访阅读器的一个歹意网址,就能巧妙穿透Chrome沙盒,直接在零碎底层执行恣意代码,片面控制谷歌Pixel手机。不只通讯录、短信、照片、视频等隐私信息可以被窃取,黑客甚至还能操控手机停止录音、窃听等,更为风险的是,用户手机中的领取信息,也能够被黑客“支出囊中”,手机已然成为黑客的钱袋子。
在平安圈内,谷歌的Pixel手机不断被誉为最难被攻破的手机,在挪动平安范畴的最高赛事Mobile Pwn2Own 2017黑客大赛也是独一未被攻破的挪动设备。在iPhone 7、Samsung Galaxy S8、华为Mate9 pro纷繁陷落的状况下,只要Google Pixel没有被攻破。并且,Google Pixel不只仅没有被攻破,竟无人报名尝试应战,可见其难度之大,难怪谷歌为“穿云箭”付出了高达11.25万美元的破绽奖金,这是自2015年谷歌设立安卓破绽奖励方案(ASR)三年来给出的史上最高奖励。
而支付这笔奖金的平安研讨员龚广,是360 Alpha团队担任人,自称老鲜肉。他在知名黑客大赛中攻破手机拿“一血”是粗茶淡饭。龚广曾发明了一年工夫内在国际四大知名黑客竞赛(Mobile Pwn2Own2015、Pwn0rama2016、Pwn2Own 2016、PwnFest2016)中博得大满贯的业内传奇,发明了屡次全球首个成功攻破谷歌亲儿子——Nexus系列手机的记载。
360获谷歌破绽致谢榜三连冠 挪动平安范畴实力强悍
在谷歌2017全年的榜单中,360凭仗227次安卓致谢和6次Chrome致谢再登榜首,远超谷歌自家的机器发掘大军和黑客天团Google Project Zero。值得一提的是,这曾经是自2015年谷歌发布破绽致谢以来360第三年蝉联冠军,展示了在挪动平安范畴的强悍实力。
目前,我国安卓零碎手机用户占比超越50%,数量十分庞大。但据360 互联网 平安中心发布的《2017年度安卓零碎平安性生态环境研讨报告》显示,九成以上的安卓设备存在高危零碎破绽。大平安时代,网络平安会影响生活的方方面面。手机破绽一旦被不法分子应用,用户团体隐私甚至是财富、人身平安都将遭到要挟,严重状况下,社会平安、国度平安都有能够被一个破绽武器攻击。
严峻的平安情势下,零碎厂商、手机厂商与平安厂商、平安研讨员等多方需求通力协作,共铸平安共同体。作为国际最大的互联网平安公司,360在破绽发掘任务上不遗余力,第一工夫与零碎厂商携手,以最疾速度封堵平安破绽,共同维护大平安生态均衡,为平安生态良性互动树立模范。