谷歌盘点2017年漏洞奖励计划 公开致谢360 安全团队

近日，谷歌发表了2017年漏洞奖励计划总结报告，公开2017年漏洞奖励计划的数据、最重要的漏洞项目以及对于安卓系统和Google Play的漏洞奖励改进计划。报告显示，2017年谷歌向274名安全专家发放了共计290万美元的奖励，其中360 Alpha团队龚广报告的“穿云箭”组合漏洞，拿到了自2015年谷歌设立安卓漏洞奖励计划（ASR）三年来给出的史上最高奖励——11.25万美元，并获得了谷歌公司的郑重感谢。

“穿云箭”组合漏洞的提交成为谷歌漏洞奖励计划一大亮点

谷歌公开的报告中总结了2017年漏洞奖励计划里，最为“出彩”、最有亮点的几个项目，其中首要说明的就是360 Alpha 团队龚广向谷歌提交的Pixel手机“穿云箭”组合漏洞。

龚广在2017年8月就发现了 “穿云箭”漏洞链，并在第一时间提交给谷歌官方。这两个漏洞分别是基于Chrome浏览器的V8引擎漏洞和Android系统漏洞，是ASR史上首个可以远程有效利用的系列漏洞。其中，Chrome浏览器漏洞CVE-2017-5116可被用于在Chrome浏览器沙箱内远程执行代码。

利用这两个漏洞组合，黑客只需要让网民访问浏览器的一个恶意网址，就能巧妙穿透Chrome沙盒，直接在系统底层执行任意代码，全面控制谷歌Pixel手机。不仅通讯录、短信、照片、视频等隐私信息可以被窃取，黑客甚至还能操控手机进行录音、窃听等，更为危险的是，用户手机中的支付信息，也可能被黑客“收入囊中”，手机已然成为黑客的钱袋子。

在安全圈内，谷歌的Pixel手机一直被誉为最难被攻破的手机，在移动安全领域的最高赛事Mobile Pwn2Own 2017黑客大赛也是唯一未被攻破的移动设备。在iPhone 7、Samsung Galaxy S8、华为Mate9 pro纷纷沦陷的情况下，只有Google Pixel没有被攻破。并且，Google Pixel不仅仅没有被攻破，竟无人报名尝试挑战，可见其难度之大，难怪谷歌为“穿云箭”付出了高达11.25万美元的漏洞奖金，这是自2015年谷歌设立安卓漏洞奖励计划（ASR）三年来给出的史上最高奖励。

而领取这笔奖金的安全研究员龚广，是360 Alpha团队负责人，自称老鲜肉。他在知名黑客大赛中攻破手机拿“一血”是家常便饭。龚广曾创造了一年时间内在国际四大知名黑客比赛（Mobile Pwn2Own2015、Pwn0rama2016、Pwn2Own 2016、PwnFest2016）中赢得大满贯的业内传奇，创造了多次全球首个成功攻破谷歌亲儿子——Nexus系列手机的记录。

360获谷歌漏洞致谢榜三连冠 移动安全领域实力强悍

在谷歌2017全年的榜单中，360凭借227次安卓致谢和6次Chrome致谢再登榜首，远超谷歌自家的机器挖掘大军和黑客天团Google Project Zero。值得一提的是，这已经是自2015年谷歌公布漏洞致谢以来360第三年蝉联冠军，展现了在移动安全领域的强悍实力。

目前，我国安卓系统手机用户占比超过50%，数量非常庞大。但据360互联网安全中心发布的《2017年度安卓系统安全性生态环境研究报告》显示，九成以上的安卓设备存在高危系统漏洞。大安全时代，网络安全会影响生活的方方面面。手机漏洞一旦被不法分子利用，用户个人隐私甚至是财产、人身安全都将受到威胁，严重情况下，社会安全、国家安全都有可能被一个漏洞武器攻击。

严峻的安全形势下，系统厂商、手机厂商与安全厂商、安全研究员等多方需要通力合作，共铸安全共同体。作为国内最大的互联网安全公司，360在漏洞挖掘工作上不遗余力，第一时间与系统厂商携手，以最快速度封堵安全漏洞，共同维护大安全生态平衡，为安全生态良性互动树立典范。