本篇文章1880字,读完约5分钟

新华社北京1月22日电北京时间1月22日,“穿越云箭”媒体发布会在360大楼举行。上周,谷歌正式向360阿尔法团队发出感谢信,并向360阿尔法团队负责人龚光授予了安卓漏洞奖励计划(asr)历史上最高的奖金,总额为112,500美元。2017年8月,360阿尔法团队向谷歌提交了一份关于“佩戴云箭”组合的漏洞报告。

360发现安卓“穿云箭”组合漏洞 携手MSA推先行者行动

“佩戴云箭”组合的漏洞可以完全远程破解谷歌像素手机,对用户隐私和财产安全构成极大威胁。为了保护用户手机的安全,360 alpha团队在2017年8月向谷歌报告了这一综合漏洞,并成功帮助谷歌修复了安卓系统和chrome浏览器。

同时,为了帮助国内大多数手机制造商缩短补丁发布的等待时间,可以在第一时间发现并修复漏洞。在媒体交流会议上,360和移动安全联盟(msa)推出了“先行者”行动计划。

会上,msa相关负责人表示:“通过与移动安全联盟联手,360可以提前与厂商共享漏洞信息,提前防御,及时修复漏洞,将移动安全防线向前推进,创造一个良性的手机安全生态环境,共同保护手机用户的使用。安全。”

最难破解的手机第一次被破解。这支360人的队伍赢得了谷歌asr历史上的最高奖项

“在安全圈里,谷歌的像素手机一直被认为是最难被攻破的手机,而移动安全领域的最高赛事——2017年移动黑客大赛也是唯一没有被攻破的手机。而且,谷歌像素不仅没有被打破,而且没有人报名尝试挑战,这表明这是非常困难的。”360副总裁兼总安全工程师郑介绍。

360发现安卓“穿云箭”组合漏洞 携手MSA推先行者行动

为了奖励360 alpha团队在保护手机用户安全方面做出的贡献,谷歌向360 alpha团队负责人龚光颁发了总额为112,500美元的奖项(包括105,000个安卓奖项和7,500个chrome奖项),这是自2015年谷歌设立安卓漏洞奖励计划(AnDroid Superability Awards Program,asr)以来的历史最高奖项。

360发现安卓“穿云箭”组合漏洞 携手MSA推先行者行动

谷歌团队发了一条信息,感谢360团队这次给予谷歌如此高的奖金。一方面,“穿云箭”组合的脆弱性影响广泛,大多数安卓手机在修复前可能被黑客破解。另一方面,该漏洞基于底层系统,可能会影响移动设备上的所有应用程序,甚至包括电话短信等基本应用程序,从而造成最大危害。犯罪分子可以利用这一漏洞获取用户的短信验证码和支付申请权限,对用户的个人隐私和财产构成极大威胁。

360发现安卓“穿云箭”组合漏洞 携手MSA推先行者行动

“但事实上,360 alpha团队在2017年8月发现了‘佩戴云箭’组合的漏洞,并首次将其提交给谷歌官方。”郑进一步补充道。

这两个漏洞是基于chrome浏览器的v8引擎漏洞cve-2017-5116和android系统漏洞cve-2017-14904,这是asr可以远程有效利用的第一系列漏洞。其中,chrome浏览器漏洞cve-2017-5116可用于远程执行chrome浏览器沙箱中的代码。

360与移动安全联盟合作,让制造商成为漏洞修复的“先行者”

目前,中国安卓系统手机用户占50%以上,而且这个数字非常大。然而,由于补丁发布的延迟,安卓手机在市场上会有一个相对滞后的缺陷修复。根据360移动卫士和中国泰尔实验室联合发布的统计数据,被测手机中未修复漏洞的平均比例为19%,每个终端平均包含约5个未修复漏洞。

360发现安卓“穿云箭”组合漏洞 携手MSA推先行者行动

大多数手机制造商都在等待谷歌的官方补丁来修复安卓系统的漏洞。然而,谷歌需要相对较长的时间才能收到bug报告,并在从白帽发现bug并将补丁发送给制造商后进行修复。在此期间,由于各种漏洞,手机用户经常面临某些安全威胁。

360发现安卓“穿云箭”组合漏洞 携手MSA推先行者行动

谷歌2017漏洞确认列表是中国领先的安全公司。2017年,360个漏洞在谷歌漏洞确认列表中再次排名第一,有超过200个安卓漏洞,漏洞总数占今年安卓感谢总数的近一半。在谷歌年度漏洞感谢名单上连续三次获得冠军,远远领先于趋势科技和谷歌零项目等国际顶级黑客。

360发现安卓“穿云箭”组合漏洞 携手MSA推先行者行动

2017年12月,中国信息与通信研究院泰尔终端实验室与设备制造商、互联网制造商、安全供应商和大学共同牵头发起了移动安全联盟(msa)。

因此,360作为移动安全联盟的董事会成员,与移动安全联盟携手发起“先动者”行动,并与移动安全联盟一起,帮助国内移动制造商成为漏洞修复的“先动者”。

未来,“先动者”行动将与移动安全联盟漏洞修复计划合作。360将在发现漏洞后立即与移动安全联盟的成员共享漏洞信息,并在政策、标准、检测、修复、应急响应等方面积极推广。,与合作厂商同步,判断漏洞风险,共同制定防御计划,确保漏洞在最短时间内得到修复。

360发现安卓“穿云箭”组合漏洞 携手MSA推先行者行动

同时,也鼓励移动安全联盟成员积极分享自身的技术实力,使中国移动制造商成为全球移动安全漏洞修复的“先锋”。

来源:央视线

标题:360发现安卓“穿云箭”组合漏洞 携手MSA推先行者行动

地址:http://www.yangshinews.com/ysxw/20452.html