上周,谷歌官方发文致谢360 Alpha团队,为该团队负责人龚广颁发总额为112500美金的安卓漏洞奖励计划(ASR)史上最高金额的奖金,奖励该团队在2017年8月向谷歌提交的关于攻破Pixel手机的“穿云箭”组合漏洞报告。
1月22日,360 Alpha团队首次对外披露了该漏洞的情况。据介绍,“穿云箭”组合漏洞可以彻底远程攻破谷歌Pixel手机,对用户的隐私及财产安全造成极大的威胁。360 Alpha团队在17年8月将该组合漏洞报告给谷歌,已成功帮助其修复Android 系统和Chrome浏览器。这两个漏洞分别是基于Chrome浏览器的V8引擎漏洞CVE-2017-5116,以及Android系统漏洞CVE-2017-14904,是ASR首个可以远程有效利用的系列漏洞。其中,Chrome浏览器漏洞CVE-2017-5116可被用于在Chrome浏览器沙盒内远程执行代码。
谷歌颁发的112500美金的奖励中,包括105000的Android奖和7500的Chrome奖,这是自2015年谷歌设立安卓漏洞奖励计划(ASR)三年来给出的史上最高奖励。
之所以此次Google会颁发如此高的奖金,一方面是由于“穿云箭”组合漏洞的影响面广,未修复前大部分安卓手机都可能会被黑客利用这个组合漏洞攻破。另一方面,该漏洞是基于底层系统存在的,能影响手机设备上所有应用,甚至包括电话短信等基础应用,造成的危害最大。不法分子可利用该漏洞获取用户短信验证码、支付应用权限等,对用户的个人隐私和财产都造成极大威胁。
目前,我国Android系统手机用户占比超过50%,数量非常庞大。然而由于补丁的下放延迟,导致市场上的Android手机会存在漏洞修复相对滞后的情况。360手机卫士与中国泰尔实验室联合发布的统计数据显示,在测试手机中,平均未修复漏洞比为19%,平均每款终端含有未修复漏洞5个左右。
大多数手机厂商,对于Android系统漏洞的修复都是在等待谷歌官方的补丁。然而,从白帽子发现漏洞提交给谷歌,谷歌收到漏洞报告进行修复,最后下发补丁给厂商需要一段相对漫长的时间。在这段期间,手机用户往往会因为各类漏洞而面临着一定的安全威胁。
会员中心
