北京時間11月22日,Google發布最新安全公告,公開致謝360 Alpha Lab首個發現並提交關於攻破Pixel手機的「梯雲縱」漏洞鏈報告,以及向360 Alpha Lab負責人龔廣頒發總金額為201,337美元的漏洞獎勵。
此次挖掘出「梯雲縱」漏洞的幕後功臣,正是360安全大腦中安全專家雲下的360 Alpha Lab。他們所拿下201,337美元不僅成為Google漏洞獎勵計劃(VRP)有史以來最高的獎金紀錄,並超越了所有廠商所開出的單項漏洞最高獎勵。
獨立發現「梯雲縱」漏洞鏈,一鍵遠程攻破Google Pixel 3
一直在以來,對安全性極為重視的Google,其親自操刀的Pixel手機被公認為「最難被攻破」的手機。就連世界最高破解大賽Mobile Pwn2Own,自2017年至今3年來,Pixel手機也是唯一未被破解的項目。並且,Google Pixel不僅僅沒有被攻破,甚至無人報名挑戰,可見攻破Pixel的難度之大。
然而今年8月,360 Alpha Lab卻在Pixel手機里發現了一組具有持久性的全鏈遠程代碼執行漏洞,利用該漏洞鏈可一鍵遠程獲取手機最高控制權限,而該漏洞鏈的獨立發現者360 Alpha Lab將其命名為「梯雲縱」漏洞。並且360 Alpha Lab已在測試中證實,利用「梯雲縱」漏洞鏈可成功繞過Google的安全防護機制,順利攻破無堅不摧的Pixel 3手機。而Pixel 3的失陷也意味著,「梯雲縱」漏洞幾乎影響所有Android系統和Chrome瀏覽器,若黑客一旦利用即可任意獲取用戶敏感信息,對用戶個人隱私和財產造成極大威脅。
作為國內最大的網際網路安全公司,360 Alpha Lab率先發現了該漏洞鏈的存在,確認其具體危害和可影響範圍,並在第一時間將該漏洞提交至Google官方,協助Google實現對「梯雲縱」漏洞鏈問題的修復。
不僅斬獲Google歷史最高獎金,還獲得「1337」特別漏洞獎勵
此次Google致謝中,360 Alpha Lab分別從Android安全獎勵計劃(ASR)中獲得了161,337美元的獎勵,並從Chrome獎勵計劃獲得了40,000美元的獎勵,總計201,337美元。而201,337美元的漏洞獎勵,是所有Google VRP獎勵計劃中的歷史最高獎勵。
要知道,自2015年發布Google VRP獎勵計劃以來,最大漏洞獎金一直鎖定為200,000美元,然而始終沒人獲得過這一最高金額。直到「梯雲縱」漏洞的發現,360 Alpha Lab才打破了無人觸頂的歷史,甚至還刷新了Google所支付的最高獎金。
這裡必須一提的是,Google的基本賞金通常為500美元,但針對特別嚴重的漏洞,Google別出心裁地設置了Leet(或「1337」)漏洞賞金計劃,以特殊的1337美元褒獎那些「特別嚴重或特別聰明」的漏洞發現。也正如此,「梯雲縱」漏洞獎勵不僅代表了Google給出的史上最高獎金,同時也是Google官方認定的「特別聰明」漏洞獎勵。
360 Alpha Lab「梅開二度」,連續霸榜Google史上最高
360安全大腦下的360 Alpha Lab,是由360兩大頂尖團隊Alpha Team 和C0RE Team組建而成,而此次「梯雲縱」漏洞的發現,正是兩大安全團隊強強碰撞的火花。而回數戰績,他們已連續多次獲得Google公開致謝:
2018年1月,360 Alpha Lab憑著發現「穿雲箭」組合漏洞,拿到Android安全獎勵計劃(ASR)史上最高金額獎金——112,500美元獎金,而「穿雲箭」漏洞在當時所引起的轟動至今仍未平復。
2019年3月,360 Alpha Lab又發現一枚可以用來ROOT目前國內外主流Android手機的「內核通殺」型漏洞——「水滴」漏洞(CVE-2019-2025),Google發表公開致謝,並獎勵漏洞獎金14,000美元。
到了2019年11月,始終奮戰在挖洞第一線的360 Alpha Lab再下一城,又再發現了威力更大、影響更廣、獎金更高的「梯雲縱」組合漏洞,並再一次刷新Google史上最高漏洞獎金紀錄。
可以說,360 Alpha Lab無可撼動的挖洞能力,是360整個安全大腦挖洞實力的縮影。對於360安全大腦而言,不僅連續包攬了Google、微軟、蘋果三巨頭的最高漏洞獎勵,並已累計發現包括蘋果、Google、微軟、華為、高通、VMWare等在內的全球主流廠商CVE漏洞超過2000個(也就是說平均每天都會挖掘1.3個漏洞),成為全球獲得致謝次數最多的安全廠商,刷新世界紀錄,向世界展現了來自中國的安全力量。
眾所周知,在大安全時代,「漏洞」關乎著企業自身的安全、品牌的聲譽以及千千萬萬用戶的切身利益,一旦漏洞被不法分子搶先發現並利用,其後果不堪設想。而360安全大腦,憑藉著其過硬的實力,全年無休地守護著網絡安全,與惡勢力賽跑,幫助各大企業廠商不斷完善系統安全,努力為廣大用戶提供一個安全的網絡環境。
Google官方致謝360安全大腦:
https://security.googleblog.com/2019/11/expanding-android-security-rewards.html
文章來源: https://twgreatdaily.com/zh-tw/NwZBp24BMH2_cNUgMESu.html