360安全大脑凭“梯云纵”漏洞再获Google史上最高奖金

发表于:2019-11-26 09:16  作者:佚名   来源:指尖安全SECFREE

字体: | 上一篇 | 下一篇 |我要投稿 | 推荐标签: 漏洞

  Google发布最新安全公告,公开致谢360 Alpha Lab首个发现并提交关于攻破Pixel手机的“梯云纵”漏洞链报告,以及向360 Alpha Lab负责人龚广颁发总金额为201,337美元的漏洞奖励。
  此次挖掘出“梯云纵”漏洞的幕后功臣,正是360安全大脑中安全专家云下的360 Alpha Lab。他们所拿下201,337美元不仅成为Google漏洞奖励计划(VRP)有史以来最高的奖金纪录,并超越了所有厂商所开出的单项漏洞最高奖励。
  
  独立发现“梯云纵”漏洞链,一键远程攻破Google Pixel 3
  一直在以来,对安全性极为重视的Google,其亲自操刀的Pixel手机被公认为“最难被攻破”的手机。就连世界最高破解大赛Mobile Pwn2Own,自2017年至今3年来,Pixel手机也是唯一未被破解的项目。并且,Google Pixel不仅仅没有被攻破,甚至无人报名挑战,可见攻破Pixel的难度之大。
  然而今年8月,360 Alpha Lab却在Pixel手机里发现了一组具有持久性的全链远程代码执行漏洞,利用该漏洞链可一键远程获取手机最高控制权限,而该漏洞链的独立发现者360 Alpha Lab将其命名为“梯云纵”漏洞。
  并且360 Alpha Lab已在测试中证实,利用“梯云纵”漏洞链可成功绕过Google的安全防护机制,顺利攻破无坚不摧的Pixel 3手机。而Pixel 3的失陷也意味着,“梯云纵”漏洞几乎影响所有Android系统和Chrome浏览器,若黑客一旦利用即可任意获取用户敏感信息,对用户个人隐私和财产造成极大威胁。
  作为国内最大的互联网安全公司,360 Alpha Lab率先发现了该漏洞链的存在,确认其具体危害和可影响范围,并在第一时间将该漏洞提交至Google官方,协助Google实现对“梯云纵”漏洞链问题的修复。
  不仅斩获Google历史最高奖金,还获得“1337”特别漏洞奖励
  此次Google致谢中,360 Alpha Lab分别从Android安全奖励计划(ASR)中获得了161,337美元的奖励,并从Chrome奖励计划获得了40,000美元的奖励,总计201,337美元。而201,337美元的漏洞奖励,是所有Google VRP奖励计划中的历史最高奖励。
  要知道,自2015年发布Google VRP奖励计划以来,最大漏洞奖金一直锁定为200,000美元,然而始终没人获得过这一最高金额。直到“梯云纵”漏洞的发现,360 Alpha Lab才打破了无人触顶的历史,甚至还刷新了Google所支付的最高奖金。
  这里必须一提的是,Google的基本赏金通常为500美元,但针对特别严重的漏洞,Google别出心裁地设置了Leet(或“1337”)漏洞赏金计划,以特殊的1337美元褒奖那些“特别严重或特别聪明”的漏洞发现。也正如此,“梯云纵”漏洞奖励不仅代表了Google给出的史上最高奖金,同时也是Google官方认定的“特别聪明”漏洞奖励。
  
  360 Alpha Lab“梅开二度”,连续霸榜Google史上最高
  360安全大脑下的360 Alpha Lab,是由360两大顶尖团队Alpha Team 和C0RE Team组建而成,而此次“梯云纵”漏洞的发现,正是两大安全团队强强碰撞的火花。而回数战绩,他们已连续多次获得Google公开致谢:
  2018年1月,360 Alpha Lab凭着发现“穿云箭”组合漏洞,拿到Android安全奖励计划(ASR)史上最高金额奖金——112,500美元奖金,而“穿云箭”漏洞在当时所引起的轰动至今仍未平复。
  
  2019年3月,360 Alpha Lab又发现一枚可以用来ROOT目前国内外主流Android手机的“内核通杀”型漏洞——“水滴”漏洞(CVE-2019-2025),Google发表公开致谢,并奖励漏洞奖金14,000美元。
  
  到了2019年11月,始终奋战在挖洞第一线的360 Alpha Lab再下一城,又再发现了威力更大、影响更广、奖金更高的“梯云纵”组合漏洞,并再一次刷新Google史上最高漏洞奖金纪录。
  可以说,360 Alpha Lab无可撼动的挖洞能力,是360整个安全团队挖洞实力的缩影。对于360安全团队而言,不仅连续包揽了Google、微软苹果三巨头的最高漏洞奖励,并已累计发现包括苹果、Google、微软、华为、高通、VMWare等在内的全球主流厂商CVE漏洞超过2000个(也就是说平均每天都会挖掘1.3个漏洞),成为全球获得致谢次数最多的安全厂商,刷新世界纪录,向世界展现了来自中国的安全力量。
  众所周知,在大安全时代,“漏洞”关乎着企业自身的安全、品牌的声誉以及千千万万用户的切身利益,一旦漏洞被不法分子抢先发现并利用,其后果不堪设想。而360安全团队,凭借着其过硬的实力,全年无休地守护着网络安全,与恶势力赛跑,帮助各大企业厂商不断完善系统安全,努力为广大用户提供一个安全的网络环境。
  Google官方致谢360安全团队:
  https://security.googleblog.com/2019/11/expanding-android-security-rewards.html

       本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理

评 论

论坛新帖

顶部 底部


建议使用IE 6.0以上浏览器,800×600以上分辨率,法律顾问:上海瀛东律师事务所 张楠律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2020, 沪ICP备05003035号
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪公网安备 31010102002173号

51Testing官方微信

51Testing官方微博

扫一扫 测试知识全知道