5月30日至31日,號稱史上最具看點的安全大會syscan360在西雅圖如期召開。來自360手機衛士阿爾法團隊龔廣,向與會的全球安全專家介紹了其首次攻破Google Pixel手機的奇特思路。演講結束後,龔廣向谷歌大中華區總裁Scott Beaumont提出提高漏洞挖掘獎勵標準的建議,當即被Scott 接受。谷歌迅速決定大幅提高有效利用獎勵標準,其中有效能直達tee的漏洞從5萬美元增至20萬美元,這讓廣大“挖洞群眾”忍不住“躁了起來”。
圖1:龔廣向谷歌大中華區總裁Scott提議提高漏洞挖掘獎勵標準
作為360手機衛士的技術團隊,360阿爾法戰隊實力雄厚。去年參加世界級黑客大賽PwnFest,他們就利用漏洞全球首次攻破了背靠谷歌上千臺機器大軍協助掃描漏洞的Google Pixel手機,贏得大賽53萬美元獎金。
圖2:去年黑客大賽龔廣展示不到60秒攻破Google Pixel
此次syscan360西雅圖現場演示Google Pixel攻破的神奇思路,贏得了谷歌大中華區總裁Scott Beaumont盛讚。龔廣便藉機向他反饋廣大漏洞挖掘人員對谷歌“只提高漏洞嚴重級別標準,不提高漏洞獎勵標準”的做法不甚滿意,建議提高獎勵標準,沒想到谷歌真的接受了。
圖3:谷歌提高漏洞獎勵標準讓不少白帽子歡喜雀躍
其實,谷歌很早就有漏洞挖掘獎勵項目,只是獎金額度並不大。此次提高漏洞挖掘有效利用獎勵標準後,漏洞獎金將提高到20萬美金。谷歌顯然意識到了漏洞挖掘的重要性,希望通過提高賞金來激勵安全研究人員投入更多時間研究Android系統漏洞,保護用戶安全。這一切,360手機衛士的阿爾法團隊功不可沒。
4:谷歌大幅提高了多項漏洞挖掘獎勵入圖片描述
據龔廣介紹說,目前Android設備用戶規模龐大,但漏洞的存在讓他們面臨巨大威脅。360手機衛士阿爾法團隊一直為360手機衛士提供安全研究支持和成果轉化,致力於Android系統漏洞以及移動瀏覽器漏洞的挖掘與利用。迄今為止,360手機衛士團隊已幫助谷歌發現、修復了59個漏洞,累計19次獲得谷歌公開致謝。
事實上,不僅僅是Google ,智能手機漏洞安全的問題一直都是網絡安全領域的熱點,無論是安卓系統還是蘋果系統,都沒有絕對的安全性,只要手機存在漏洞,都有可能被黑客利用,竊取用戶短信、通話記錄以及照片等個人信息。
此前,勒索病毒“WannaCry”曾利用電腦系統漏洞肆虐全球,造成近百億美金直接損失。但隨著智能移動設備數量的高速增長,黑客將攻擊轉向移動端的趨勢明顯增強。
圖5:我國99.9%的智能手機存在安全漏洞
360公司董事長周鴻禕曾說過,“物聯網時代,網絡攻擊的威力和核武器是一樣的”。目前,我國智能手機用戶規模已超過6.24億(艾媒數據)。但手機安全漏洞問題卻十分嚴峻。據360手機衛士發佈的2016手機安全狀況報告顯示,我國智能手機設備中,有高達99.9%的手機存在安全漏洞。這些漏洞可令黑客遠程控制手機設備,安裝惡意軟件、訪問數據,甚至竊取用戶銀行卡賬號、密碼,給用戶造成嚴重損失。
手機漏洞帶來的風險不容忽視,作為國內最大的網絡安全廠商,360推出了全國首個安卓系統漏洞檢測應用“360透視鏡”。
圖6:360透視鏡可以幫助用戶檢測手機安全漏洞
作為一款安卓手機漏洞專查工具,“360透視鏡”除了能夠顯示手機參數信息,還能有效幫助用戶檢測手機安全漏洞,將掃描出的漏洞分為嚴重、高危、中危漏洞,且提供一鍵反饋給廠商的功能,以便用戶及手機廠商提前採取相應的安全防護措施。
360手機衛士負責人表示:“360透視鏡”不僅可讓用戶全面瞭解智能終端漏洞,提前採取安全措施避免病毒入侵,並將提升行業對智能終端安全漏洞的修補意識,促進系統更加安全穩定。