日前,谷歌發(fā)布了8月安全公告,批量修復了多個安全漏洞。其中,360安全研究員龔廣提交的安卓5.1及以下版本的本地提權高危漏洞也被確認和修復,并獲得了谷歌公開致謝,這也是360今年第二次收到谷歌致謝。
圖:谷歌致謝360安全研究員龔廣
根據谷歌的安全公告顯示,360此次發(fā)現的漏洞是一個本地提權漏洞,存在于安卓5.1及以下所有版本,一旦被成功利用,普通APP可以通過這個漏洞獲取一些危險的系統(tǒng)權限,比如監(jiān)控攝像頭、麥克風等都有可能遭到惡意利用,用戶隱私受到嚴重威脅。該漏洞被谷歌評級為“高危”,并在公告中對360安全研究員龔廣表示了感謝。
龔廣發(fā)現,當處理其他應用提供的數據時,安卓系統(tǒng)的libstagefright存在一個潛在的整數溢出,這個溢出將導致內存堆破壞,并可能導致以mediaserver進程執(zhí)行任意代碼。這個漏洞能被用來獲取一些沒有被授予第三方應用的權限,盡管mediaserver有SElinux的保護,它依然可以訪問音頻流、視頻流以及一些第三方應用程序通常不能訪問的特權內核驅動設備節(jié)點。
據了解,這已不是360首次發(fā)現安卓漏洞并獲得谷歌官方公開致謝。早在今年3月,360手機衛(wèi)士安全研究員龔廣就發(fā)現了谷歌Android存在的7個漏洞。在經過谷歌官方確認后,特向360手機安全團隊致謝。
一直以來,安卓系統(tǒng)由于強調開放性,在安全防護方面有先天不足。谷歌對安卓的安全也越來越重視,今年6月,谷歌專門針對安卓啟動了一個名為Android Security Rewards的安全獎勵項目,重金征集漏洞。
不過,由于漏洞挖掘的門檻比較高,在流行系統(tǒng)和軟件上與全球黑客競速挖出新漏洞,已經難上加難,漏洞挖掘能力也因此成為判斷一個安全團隊技術實力的重要指標,360已經憑借自身實力成為各大巨頭漏洞致謝榜上異軍突起的骨干力量。
除了谷歌之外,360因發(fā)現并協(xié)助修復漏洞還獲得來了微軟、蘋果、Adobe等巨頭的致謝。8月14日,360安全團隊向蘋果提交的兩個漏洞也被確認并修復,并獲得蘋果公開致謝;當日,Adobe的官網公告中,也向本月發(fā)現和報告了3個Flash漏洞的360Vulcan Team公開致謝,360Vulcan Team也是此次獲得Adobe致謝數量最多的中國安全團隊;而自2009年以來,360已累計68次獲微軟安全公告致謝,在全球安全軟件廠商中排名首位。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!