360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360安全云盘
360随身WiFi
360搜索
系统急救箱
重装大师
勒索病毒救助
急救盘
高危漏洞免疫
360压缩
驱动大师
鲁大师
360换机助手
360清理大师Win10
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
360加固保
360贷款神器
360手机浏览器
360安全云盘
360免费WiFi
安全客
手机助手
安全换机
360帮帮
清理大师
省电王
360商城
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360互助
信贷管家
360摄像机云台AI版
360摄像机小水滴AI版
360摄像机云台变焦版
360可视门铃
360摄像机云台1080p
家庭防火墙V5S增强版
家庭防火墙5Pro
家庭防火墙5SV2
家庭防火墙路由器5C
360儿童手表S1
360儿童手表8X
360儿童手表P1
360儿童手表SE5
360智能健康手表
行车记录仪M310
行车记录仪K600
行车记录仪G380
360行车记录仪G600
儿童安全座椅
360扫地机器人X90
360扫地机器人T90
360扫地机器人S7
360扫地机器人S6
360扫地机器人S5
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360随身WiFi
360搜索
系统急救箱
重装大师
急救盘
勒索病毒救助
360压缩
驱动大师
鲁大师
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
手机急救箱
360加固保
360贷款神器
360免费WiFi
安全客
手机助手
一键root
安全换机
360帮帮
信用卫士
清理大师
省电王
360商城
流量卫士
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360手机N7
360手机N6
Pro
360手机vizza
360手机N5S
360儿童手表6C
360儿童手表6W
360儿童手表SE2代
360手表SE2Plus
360老人手表
360摄像机大众版
360安全路由器P3
360安全路由器P2
360儿童机器人
外设产品
影音娱乐
平板电脑
二手手机
二代 美猴王版
二代
美猴王领航版
标准升级版
后视镜版
车载电器360安全大脑“梅开二度”,凭“梯云纵”漏洞再获Google史上最高奖金!
- 2019-11-25 19:16:58
北京时间11月22日,Google发布最新安全公告,公开致谢360 Alpha Lab首个发现并提交关于攻破Pixel手机的“梯云纵”漏洞链报告,以及向360 Alpha Lab负责人龚广颁发总金额为201,337美元的漏洞奖励。
此次挖掘出“梯云纵”漏洞的幕后功臣,正是360安全大脑中安全专家云下的360 Alpha Lab。他们所拿下201,337美元不仅成为Google漏洞奖励计划(VRP)有史以来最高的奖金纪录,并超越了所有厂商所开出的单项漏洞最高奖励。
独立发现“梯云纵”漏洞链,一键远程攻破Google Pixel 3
一直在以来,对安全性极为重视的Google,其亲自操刀的Pixel手机被公认为“最难被攻破”的手机。就连世界最高破解大赛Mobile Pwn2Own,自2017年至今3年来,Pixel手机也是唯一未被破解的项目。并且,Google Pixel不仅仅没有被攻破,甚至无人报名挑战,可见攻破Pixel的难度之大。
然而今年8月,360 Alpha Lab却在Pixel手机里发现了一组具有持久性的全链远程代码执行漏洞,利用该漏洞链可一键远程获取手机最高控制权限,而该漏洞链的独立发现者360 Alpha Lab将其命名为“梯云纵”漏洞。并且360 Alpha Lab已在测试中证实,利用“梯云纵”漏洞链可成功绕过Google的安全防护机制,顺利攻破无坚不摧的Pixel 3手机。而Pixel 3的失陷也意味着,“梯云纵”漏洞几乎影响所有Android系统和Chrome浏览器,若黑客一旦利用即可任意获取用户敏感信息,对用户个人隐私和财产造成极大威胁。
作为国内最大的互联网安全公司,360 Alpha Lab率先发现了该漏洞链的存在,确认其具体危害和可影响范围,并在第一时间将该漏洞提交至Google官方,协助Google实现对“梯云纵”漏洞链问题的修复。
不仅斩获Google历史最高奖金,还获得“1337”特别漏洞奖励
此次Google致谢中,360 Alpha Lab分别从Android安全奖励计划(ASR)中获得了161,337美元的奖励,并从Chrome奖励计划获得了40,000美元的奖励,总计201,337美元。而201,337美元的漏洞奖励,是所有Google VRP奖励计划中的历史最高奖励。
要知道,自2015年发布Google VRP奖励计划以来,最大漏洞奖金一直锁定为200,000美元,然而始终没人获得过这一最高金额。直到“梯云纵”漏洞的发现,360 Alpha Lab才打破了无人触顶的历史,甚至还刷新了Google所支付的最高奖金。
这里必须一提的是,Google的基本赏金通常为500美元,但针对特别严重的漏洞,Google别出心裁地设置了Leet(或“1337”)漏洞赏金计划,以特殊的1337美元褒奖那些“特别严重或特别聪明”的漏洞发现。也正如此,“梯云纵”漏洞奖励不仅代表了Google给出的史上最高奖金,同时也是Google官方认定的“特别聪明”漏洞奖励。
360 Alpha Lab“梅开二度”,连续霸榜Google史上最高
360安全大脑下的360 Alpha Lab,是由360两大顶尖团队Alpha Team 和C0RE Team组建而成,而此次“梯云纵”漏洞的发现,正是两大安全团队强强碰撞的火花。而回数战绩,他们已连续多次获得Google公开致谢:
2018年1月,360 Alpha Lab凭着发现“穿云箭”组合漏洞,拿到Android安全奖励计划(ASR)史上最高金额奖金——112,500美元奖金,而“穿云箭”漏洞在当时所引起的轰动至今仍未平复。
2019年3月,360 Alpha Lab又发现一枚可以用来ROOT目前国内外主流Android手机的“内核通杀”型漏洞——“水滴”漏洞(CVE-2019-2025),Google发表公开致谢,并奖励漏洞奖金14,000美元。
到了2019年11月,始终奋战在挖洞第一线的360 Alpha Lab再下一城,又再发现了威力更大、影响更广、奖金更高的“梯云纵”组合漏洞,并再一次刷新Google史上最高漏洞奖金纪录。
可以说,360 Alpha Lab无可撼动的挖洞能力,是360整个安全大脑挖洞实力的缩影。对于360安全大脑而言,不仅连续包揽了Google、微软、苹果三巨头的最高漏洞奖励,并已累计发现包括苹果、Google、微软、华为、高通、VMWare等在内的全球主流厂商CVE漏洞超过2000个(也就是说平均每天都会挖掘1.3个漏洞),成为全球获得致谢次数最多的安全厂商,刷新世界纪录,向世界展现了来自中国的安全力量。
众所周知,在大安全时代,“漏洞”关乎着企业自身的安全、品牌的声誉以及千千万万用户的切身利益,一旦漏洞被不法分子抢先发现并利用,其后果不堪设想。而360安全大脑,凭借着其过硬的实力,全年无休地守护着网络安全,与恶势力赛跑,帮助各大企业厂商不断完善系统安全,努力为广大用户提供一个安全的网络环境。
Google官方致谢360安全大脑:
https://security.googleblog.com/2019/11/expanding-android-security-rewards.html
京公网安备 11000002000006号