360发现安卓“穿云箭”组合漏洞 携手MSA推先行者行动

本篇文章1880字，读完约5分钟

新华社北京1月22日电北京时间1月22日，“穿越云箭”媒体发布会在360大楼举行。上周，谷歌正式向360阿尔法团队发出感谢信，并向360阿尔法团队负责人龚光授予了安卓漏洞奖励计划(asr)历史上最高的奖金，总额为112，500美元。2017年8月，360阿尔法团队向谷歌提交了一份关于“佩戴云箭”组合的漏洞报告。

“佩戴云箭”组合的漏洞可以完全远程破解谷歌像素手机，对用户隐私和财产安全构成极大威胁。为了保护用户手机的安全，360 alpha团队在2017年8月向谷歌报告了这一综合漏洞，并成功帮助谷歌修复了安卓系统和chrome浏览器。

同时，为了帮助国内大多数手机制造商缩短补丁发布的等待时间，可以在第一时间发现并修复漏洞。在媒体交流会议上，360和移动安全联盟(msa)推出了“先行者”行动计划。

会上，msa相关负责人表示:“通过与移动安全联盟联手，360可以提前与厂商共享漏洞信息，提前防御，及时修复漏洞，将移动安全防线向前推进，创造一个良性的手机安全生态环境，共同保护手机用户的使用。安全。”

最难破解的手机第一次被破解。这支360人的队伍赢得了谷歌asr历史上的最高奖项

“在安全圈里，谷歌的像素手机一直被认为是最难被攻破的手机，而移动安全领域的最高赛事——2017年移动黑客大赛也是唯一没有被攻破的手机。而且，谷歌像素不仅没有被打破，而且没有人报名尝试挑战，这表明这是非常困难的。”360副总裁兼总安全工程师郑介绍。

为了奖励360 alpha团队在保护手机用户安全方面做出的贡献，谷歌向360 alpha团队负责人龚光颁发了总额为112，500美元的奖项(包括105，000个安卓奖项和7，500个chrome奖项)，这是自2015年谷歌设立安卓漏洞奖励计划(AnDroid Superability Awards Program，asr)以来的历史最高奖项。

谷歌团队发了一条信息，感谢360团队这次给予谷歌如此高的奖金。一方面，“穿云箭”组合的脆弱性影响广泛，大多数安卓手机在修复前可能被黑客破解。另一方面，该漏洞基于底层系统，可能会影响移动设备上的所有应用程序，甚至包括电话短信等基本应用程序，从而造成最大危害。犯罪分子可以利用这一漏洞获取用户的短信验证码和支付申请权限，对用户的个人隐私和财产构成极大威胁。

“但事实上，360 alpha团队在2017年8月发现了‘佩戴云箭’组合的漏洞，并首次将其提交给谷歌官方。”郑进一步补充道。

这两个漏洞是基于chrome浏览器的v8引擎漏洞cve-2017-5116和android系统漏洞cve-2017-14904，这是asr可以远程有效利用的第一系列漏洞。其中，chrome浏览器漏洞cve-2017-5116可用于远程执行chrome浏览器沙箱中的代码。

360与移动安全联盟合作，让制造商成为漏洞修复的“先行者”

目前，中国安卓系统手机用户占50%以上，而且这个数字非常大。然而，由于补丁发布的延迟，安卓手机在市场上会有一个相对滞后的缺陷修复。根据360移动卫士和中国泰尔实验室联合发布的统计数据，被测手机中未修复漏洞的平均比例为19%，每个终端平均包含约5个未修复漏洞。

大多数手机制造商都在等待谷歌的官方补丁来修复安卓系统的漏洞。然而，谷歌需要相对较长的时间才能收到bug报告，并在从白帽发现bug并将补丁发送给制造商后进行修复。在此期间，由于各种漏洞，手机用户经常面临某些安全威胁。

谷歌2017漏洞确认列表是中国领先的安全公司。2017年，360个漏洞在谷歌漏洞确认列表中再次排名第一，有超过200个安卓漏洞，漏洞总数占今年安卓感谢总数的近一半。在谷歌年度漏洞感谢名单上连续三次获得冠军，远远领先于趋势科技和谷歌零项目等国际顶级黑客。

2017年12月，中国信息与通信研究院泰尔终端实验室与设备制造商、互联网制造商、安全供应商和大学共同牵头发起了移动安全联盟(msa)。

因此，360作为移动安全联盟的董事会成员，与移动安全联盟携手发起“先动者”行动，并与移动安全联盟一起，帮助国内移动制造商成为漏洞修复的“先动者”。

未来，“先动者”行动将与移动安全联盟漏洞修复计划合作。360将在发现漏洞后立即与移动安全联盟的成员共享漏洞信息，并在政策、标准、检测、修复、应急响应等方面积极推广。，与合作厂商同步，判断漏洞风险，共同制定防御计划，确保漏洞在最短时间内得到修复。

同时，也鼓励移动安全联盟成员积极分享自身的技术实力，使中国移动制造商成为全球移动安全漏洞修复的“先锋”。

来源：央视线