常言道,是骡子是马,拿出来溜溜,至于国内众多互联网企业究竟技术实力如何,自然是需要拿到更大的国际舞台上才能见分晓。
可喜的是,在覆盖系统和Chrome浏览器的2017年谷歌漏洞致谢榜上,国内互联网企业出现了霸屏的局面,被人们熟知的360、腾讯、阿里巴巴、百度等知名互联企业纷纷跻身榜单前十。
不过,如果要谈到找安全漏洞能力最强,对安全问题最敏锐的企业,则可能依旧没人能赶超360。
作为国内首屈一指的安全公司,360安全团队强大的技术实力,在寻找系统漏洞中,可谓展现的淋漓尽致。
凭借发现的超200枚系统漏洞,360此次不仅再度问鼎榜单榜首实现三连冠,强势占据本年度系统漏洞总数近一半功劳,成功打败趋势科技、Google Project Zero等国际黑客天团,单在项目中,发现的漏洞总数更是比腾讯翻4倍还要多。
而在这些漏洞中,最值得骄傲的成绩,无疑是360 Alpha团队在2017年8月,向谷歌提交的关于攻破Pixel手机的“穿云箭”组合漏洞报告。
众所周知,现今有谷歌“亲儿子”之称的Pixel手机在普通用户眼中,已然成为了综合最优性能和最新系统的标杆,能够直接从谷歌享受全方位系统支持,引用360助理总裁兼首席安全工程师郑文彬的描述,在安全圈内,谷歌Pixel手机也一直被誉为是最难被攻破的手机,是移动安全领域最高赛事Mobile Pwn2Own 2017黑客大赛唯一未被攻破的移动设备,甚至在当时根本无人敢于报名挑战。
令许多国内外安全专家没有想到的是,在这样一个看似不可能完成的挑战面前,来自中国的360,却在谷歌Pixel手机上,找到了名为“穿云箭”的突破口。
漏洞形态上,“穿云箭”组合漏洞基于底层系统,能影响设备上的所有应用,当利用该漏洞获取用户短信验证码、支付应用等权限时,便会对用户的个人隐私和财产造成极大。
据郑文彬介绍,正是由于360及时发现了“穿云箭”组合漏洞,第一时间提交给了谷歌并帮助其修复,才消除了几乎所有手机用户都有可能被黑客的风险。
“穿云箭”组合漏洞被发现和及时修复,对整个系统生态圈健康发展的重要意义不言而喻,而为了励360 Alpha团队对此做出的贡献,谷歌更向360 Alpha团队负责人龚广颁发了总额为112500美金的励,这也是自2015年谷歌设立ASR漏洞励计划以来,所给出的最高励金额。
不过,360并没有满足眼前的成就,因为对大多数手机厂商,系统漏洞的修复,都是一个等待谷歌补丁的过程,然而,从漏洞被发现提交,到谷歌进行补丁修复,是一段相对漫长的时间,如何在这段时期尽可能减少手机用户的安全风险,成为了后“穿云箭”时代,玉米地的大嫂360更加关心的事。
事实上,我国不单单是智能手机大国,生产厂商品牌众多、系统版本碎片化严重的手机用户比例更是过半,暂不提谷歌发布漏洞修复补丁的效率如何,一些偏小众的智能手机厂商能否及时在系统漏洞被发现时,实时与谷歌联动采取系统更新等修复措施,都是一个未知数。
去年12月,中国信息通信研究院泰尔终端实验室就宣布联手设备生产厂商、互联网厂商、安全厂商、高等院校等机构,共同发起成立移动安全联盟,而作为移动安全联盟理事的360,则进一步携手移动安全联盟,推出“先行者”行动,希望帮助国内移动设备厂商在谷歌系统补丁下发之前,“先行一步”修复安全漏洞。
据了解,在“先行者”行动中,漏洞问题一旦被发现,360将与移动安全联盟实时共享,并与合作厂商同步判断漏洞存在的风险,联合制定漏洞防御方案,确保漏洞修复能在最短时间能达成。
同时,“先行者”行动还鼓励移动安全联盟积极共享自己的技术力量,让足以影响整个手机生态的漏洞安全问题,成为每个联盟的事,而不是某一个厂商的事。
本文由 恒宇国际(www.neivn.cn)整理发布