Hi!下午好!欢迎访问互联网
当前位置:主页 > 智能

谷歌去年发了近300万美元奖金160大奖

时间:2018-11-23 16:21:40| 来源:| 编辑:笔名| 点击:0次

谷歌去年发了近300万美元奖金#160;大奖得主竟是中国黑客

近日,谷歌发表了2017年漏洞奖励计划总结报告,公开2017年漏洞奖励计划的数据、最重要的漏洞项目以及对于安卓系统和Google Play的漏洞奖励改进计划。报告显示,2017年谷歌向274名安全专家发放了共计290万美元的奖励,其中360 Alpha团队龚广报告的穿云箭组合漏洞,拿到了自2015年谷歌设立安卓漏洞奖励计划(ASR)三年来给出的史上最高奖励11

谷歌去年发了近300万美元奖金160大奖

.25万美元,并获得了谷歌公司的郑重感谢。

穿云箭组合漏洞的提交成为谷歌漏洞奖励计划一大亮点

谷歌公开的报告中总结了2017年漏洞奖励计划里,最为出彩、最有亮点的几个项目,其中首要说明的就是360 Alpha 团队龚广向谷歌提交的Pixel穿云箭组合漏洞。

龚广在2017年8月就发现了 穿云箭漏洞链,并在第一时间提交给谷歌官方。这两个漏洞分别是基于Chrome浏览器的V8引擎漏洞和Android系统漏洞,是ASR史上首个可以远程有效利用的系列漏洞。其中,Chrome浏览器漏洞CVE-可被用于在Chrome浏览器沙箱内远程执行代码。

利用这两个漏洞组合,黑客只需要让民访问浏览器的一个恶意址,就能巧妙穿透Chrome沙盒,直接在系统底层执行任意代码,全面控制谷歌Pixel。不仅通讯录、短信、照片、视频等隐私信息可以被窃取,黑客甚至还能操控进行录音、窃听等,更为危险的是,用户中的支付信息,也可能被黑客收入囊中,已然成为黑客的钱袋子。

在安全圈内,谷歌的Pixel一直被誉为最难被攻破的,在移动安全领域的最高赛事Mobile Pwn2Own 2017黑客大赛也是唯一未被攻破的移动设备。在iPhone 7、Samsung Galaxy S8、华为Mate9 pro纷纷沦陷的情况下,只有Google Pixel没有被攻破。并且,Google Pixel不仅仅没有被攻破,竟无人报名尝试挑战,可见其难度之大,难怪谷歌为穿云箭付出了高达11.25万美元的漏洞奖金,这是自2015年谷歌设立安卓漏洞奖励计划(ASR)三年来给出的史上最高奖励。

而领取这笔奖金的安全研究员龚广,是360 Alpha团队负责人,自称老鲜肉。他在知名黑客大赛中攻破拿一血是家常便饭。龚广曾创造了一年时间内在国际四大知名黑客比赛(Mobile Pwn2Own2015、Pwn0rama2016、Pwn2Own 2016、PwnFest2016)中赢得大满贯的业内传奇,创造了多次全球首个成功攻破谷歌亲儿子Nexus系列的记录。

360获谷歌漏洞致谢榜三连冠 移动安全领域实力强悍

在谷歌2017全年的榜单中,360凭借227次安卓致谢和6次Chrome致谢再登榜首,远超谷歌自家的机器挖掘大军和黑客天团Google Project Zero。值得一提的是,这已经是自2015年谷歌公布漏洞致谢以来360第三年蝉联冠军,展现了在移动安全领域的强悍实力。

目前,我国安卓系统用户占比超过50%,数量非常庞大。但据360互联安全中心发布的《2017年度安卓系统安全性生态环境研究报告》显示,九成以上的安卓设备存在高危系统漏洞。大安全时代,络安全会影响生活的方方面面。漏洞一旦被不法分子利用,用户个人隐私甚至是财产、人身安全都将受到威胁,严重情况下,社会安全、国家安全都有可能被一个漏洞武器攻击。

严峻的安全形势下,系统厂商、厂商与安全厂商、安全研究员等多方需要通力合作,共铸安全共同体。作为国内最大的互联安全公司,360在漏洞挖掘工作上不遗余力,第一时间与系统厂商携手,以最快速度封堵安全漏洞,共同维护大安全生态平衡,为安全生态良性互动树立典范。

郑重声明:中国IT研究中心站刊登/转载此文出于传递更多信息之目的 ,并不意味着赞同其观点或论证其描述。中国IT研究中心不负责其真实性 。