计世网

360发现谷歌漏洞,官方奖励14000美元
来源:科技新知
2019-03-07
3月5日,Google(谷歌)发布安全公告,公布了一枚可以用来ROOT目前国内外主流Android手机的“内核通杀”型漏洞(编号CVE-2019-2025),360安全团队将它命名为“水滴”漏洞。

 

3月5日,Google(谷歌)发布安全公告,公布了一枚可以用来ROOT目前国内外主流Android手机的“内核通杀”型漏洞(编号CVE-2019-2025),360安全团队将它命名为“水滴”漏洞。同时,Google的Android security bulletin公开致谢了及时发现并报告该漏洞的360安全团队,并奖励漏洞奖金14000美元。

据了解,该项由360安全团队发现、Google公布的内核漏洞,基本实现了对目前国内外主流Android机型的通杀。360安全团队在测试中,首次成功实现了在对于Google Pixel 3手机的公开ROOT,这也是该手机在全球范围内第一次“被攻破”。要知道,Pixel 3是由Google公司亲自操刀,且在去年秋季才最新发布的安卓手机,拥有着目前最强的内核防御巅峰水平,它的失守也就意味着绝大多数安卓手机安全性岌岌可危。

作为国内最大的互联网安全公司,早在2018年8月份360安全大脑就成功发现了该漏洞的存在,并确认了其具体危害和可影响的范围。9月28日,360正式将该漏洞提交至Google。11月初,360向Google提交漏洞的利用,并于11月6日,协助Google实现Linux kernel在主线上对该问题的修复。

首个发现该漏洞并提交至Google的安全团队是360 C0RE Team。在发现该漏洞后,360 C0RE Team成功利用这一漏洞绕过了代表Google安卓目前最高水平的内核防护机制,完成了针对Google旗下三款Pixel系列机型的完美ROOT,漏洞本身的严重性已是不言而喻。因此,早在本次公开报告前,Google已经多次在和360就此漏洞问题进行沟通时,向360表达了诚挚的谢意。来自360的安全专家表示,鉴于此次公布的漏洞威胁性极大,除了Google要及时完善自身的内核安全缓解措施外,各家Android厂商也需尽快修复该问题,避免用户暴露在安全风险之中。

相比谷歌的真诚,苹果在这方面就差强人意了。谷歌信息安全团队在去年发现苹果macOS漏洞,至今还未修复。2018年11月,谷歌的Project Zero团队发现苹果电脑系统macOS存在一个“高度严重”的内核漏洞。最近,该漏洞在90天披露时限之后公开。科技网站Wired 3月4日报道称,这一漏洞可能允许恶意软件将数据注入电脑上运行的最高权限代码,是最新的零日漏洞(zero-day)。

网友调侃,苹果不是一直这样吗,漏洞修复了才说,没修复的从来不告诉你。

责任编辑:焦旭