谷歌去年發了近300萬美元獎金 大獎得主竟是中國黑客

近日，谷歌發表了2017年漏洞獎勵計劃總結報告，公開2017年漏洞獎勵計劃的數據、最重要的漏洞項目以及對於安卓系統和Google Play的漏洞獎勵改進計劃。報告顯示，2017年谷歌向274名安全專家發放了共計290萬美元的獎勵，其中360 Alpha團隊龔廣報告的「穿雲箭」組合漏洞，拿到了自2015年谷歌設立安卓漏洞獎勵計劃（ASR）三年來給出的史上最高獎勵——11.25萬美元，並獲得了谷歌公司的鄭重感謝。

「穿雲箭」組合漏洞的提交成為谷歌漏洞獎勵計劃一大亮點

谷歌公開的報告中總結了2017年漏洞獎勵計劃里，最為「出彩」、最有亮點的幾個項目，其中首要說明的就是360 Alpha 團隊龔廣向谷歌提交的Pixel手機「穿雲箭」組合漏洞。

龔廣在2017年8月就發現了 「穿雲箭」漏洞鏈，並在第一時間提交給谷歌官方。這兩個漏洞分別是基於Chrome瀏覽器的V8引擎漏洞和Android系統漏洞，是ASR史上首個可以遠程有效利用的系列漏洞。其中，Chrome瀏覽器漏洞CVE-2017-5116可被用於在Chrome瀏覽器沙箱內遠程執行代碼。

利用這兩個漏洞組合，黑客只需要讓網民訪問瀏覽器的一個惡意網址，就能巧妙穿透Chrome沙盒，直接在系統底層執行任意代碼，全面控制谷歌Pixel手機。不僅通訊錄、簡訊、照片、視頻等隱私信息可以被竊取，黑客甚至還能操控手機進行錄音、竊聽等，更為危險的是，用戶手機中的支付信息，也可能被黑客「收入囊中」，手機已然成為黑客的錢袋子。

在安全圈內，谷歌的Pixel手機一直被譽為最難被攻破的手機，在移動安全領域的最高賽事Mobile Pwn2Own 2017黑客大賽也是唯一未被攻破的移動設備。在iPhone 7、Samsung Galaxy S8、華為Mate9 pro紛紛淪陷的情況下，只有Google Pixel沒有被攻破。並且，Google Pixel不僅僅沒有被攻破，竟無人報名嘗試挑戰，可見其難度之大，難怪谷歌為「穿雲箭」付出了高達11.25萬美元的漏洞獎金，這是自2015年谷歌設立安卓漏洞獎勵計劃（ASR）三年來給出的史上最高獎勵。

而領取這筆獎金的安全研究員龔廣，是360 Alpha團隊負責人，自稱老鮮肉。他在知名黑客大賽中攻破手機拿「一血」是家常便飯。龔廣曾創造了一年時間內在國際四大知名黑客比賽（Mobile Pwn2Own2015、Pwn0rama2016、Pwn2Own 2016、PwnFest2016）中贏得大滿貫的業內傳奇，創造了多次全球首個成功攻破谷歌親兒子——Nexus系列手機的記錄。

360獲谷歌漏洞致謝榜三連冠 移動安全領域實力強悍

在谷歌2017全年的榜單中，360憑藉227次安卓致謝和6次Chrome致謝再登榜首，遠超谷歌自家的機器挖掘大軍和黑客天團Google Project Zero。值得一提的是，這已經是自2015年谷歌公布漏洞致謝以來360第三年蟬聯冠軍，展現了在移動安全領域的強悍實力。

目前，我國安卓系統手機用戶佔比超過50%，數量非常龐大。但據360互聯網安全中心發布的《2017年度安卓系統安全性生態環境研究報告》顯示，九成以上的安卓設備存在高危系統漏洞。大安全時代，網路安全會影響生活的方方面面。手機漏洞一旦被不法分子利用，用戶個人隱私甚至是財產、人身安全都將受到威脅，嚴重情況下，社會安全、國家安全都有可能被一個漏洞武器攻擊。

嚴峻的安全形勢下，系統廠商、手機廠商與安全廠商、安全研究員等多方需要通力合作，共鑄安全共同體。作為國內最大的互聯網安全公司，360在漏洞挖掘工作上不遺餘力，第一時間與系統廠商攜手，以最快速度封堵安全漏洞，共同維護大安全生態平衡，為安全生態良性互動樹立典範。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！