360發現安卓「穿雲箭」組合漏洞

1月22日，360公司召開「穿雲箭」組合漏洞媒體溝通會。就在上周，谷歌官方發文致謝360 Alpha團隊，並向其負責人龔廣頒發了總額為112500美金的安卓漏洞獎勵計劃史上最高金額的獎金。

據了解，「穿雲箭」組合漏洞可以徹底遠程攻破谷歌Pixel手機，對用戶的隱私及財產安全造成極大的威脅。為了保護用戶的手機安全，360 Alpha團隊在2017年8月將該組合漏洞報告給谷歌，已成功幫助其修復安卓系統和谷歌瀏覽器。

同時，為了幫助國內廣大手機廠商減少等待補丁下放時間，能第一時間發現漏洞並進行修補。在媒體溝通會上，360攜手移動安全聯盟推出了「先行者」行動計劃。

移動安全聯盟相關負責人表示：「通過攜手移動安全聯盟，360能與廠商提前共享漏洞信息，預先防禦，及時修補漏洞，使移動安全防線前移，營造良性手機安全生態環境，聯手保護手機用戶的使用安全。」

據360助理總裁兼首席安全工程師鄭文彬介紹，在安全圈內，谷歌的Pixel手機一直被譽為最難被攻破的手機，在移動安全領域的最高賽事Mobile Pwn2Own 2017黑客大賽也是唯一未被攻破的移動設備。並且，Google Pixel不僅僅沒有被攻破，竟無人報名嘗試挑戰，可見其難度之大。

也正因為如此，谷歌向360 Alpha團隊負責人龔廣頒發了總額為112500美金的獎勵，這是自2015年谷歌設立安卓漏洞獎勵計劃三年來給出的史上最高獎勵。

之所以此次谷歌會頒發如此高的獎金，一方面是由於「穿雲箭」組合漏洞的影響面廣，未修復前大部分安卓手機都可能會被黑客利用這個組合漏洞攻破。另一方面該漏洞是基於底層系統存在的，能影響手機設備上所有應用，甚至包括電話簡訊等基礎應用，造成的危害最大。不法分子可利用該漏洞獲取用戶簡訊驗證碼、支付應用許可權等，對用戶的個人隱私和財產都造成極大威脅。

「但實際上，360 Alpha 團隊在2017年8月就發現了『穿雲箭』組合漏洞，並在第一時間就提交給谷歌官方。」鄭文彬進一步補充道。

目前，我國安卓系統手機用戶佔比超過50%，數量非常龐大。然而由於補丁的下放延遲，導致市場上的安卓手機會存在漏洞修復相對滯後的情況。360手機衛士與中國泰爾實驗室聯合發布的統計數據顯示，在測試手機中，平均未修復漏洞比為19%，平均每款終端含有未修復漏洞5個左右。

大多數手機廠商，對於安卓系統漏洞的修復都是在等待谷歌官方的補丁。然而，從白帽子發現漏洞提交給谷歌，谷歌收到漏洞報告進行修復，最後下發補丁給廠商需要一段相對漫長的時間。在這段期間，手機用戶往往會因為各類漏洞而面臨著一定的安全威脅。

2017年，360在谷歌漏洞致謝榜上以超200枚安卓漏洞致謝數量再次排名榜首，漏洞總數占本年度安卓致謝總數的近一半。實現了谷歌年度漏洞致謝榜單上的三連冠，遙遙領先於其他國際頂級黑客天團。

2017年12月，中國信息通信研究院泰爾終端實驗室牽頭會同設備生產廠商、互聯網廠商、安全廠商、高等院校共同發起成立移動安全聯盟。

因此，作為移動安全聯盟理事成員的360，與移動安全聯盟攜手，推出「先行者」行動，與移動安全聯盟一起，幫助國內移動廠商成為漏洞修補的「先行者」。未來，「先行者」行動將配合移動安全聯盟漏洞修補相關計劃，360在發現漏洞信息的第一時間與移動安全聯盟成員共享，從政策、標準、檢測、修復、應急響應等方面積極推進，與合作廠商同步，判斷漏洞風險，並聯合制定防禦方案，確保最短時間內對漏洞進行修復。

同時，也鼓勵移動安全聯盟成員積極共享自己的技術力量，讓中國移動廠商能夠成為全球移動安全漏洞修復的「先行者」。

（責編：閆偉奇）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！