在一场事先知道攻击目标的顶尖黑客大赛上,如果一个目标安然无恙,有两个可能的原因:之一,太难了,大家没准备好。第二,事先准备的漏洞和攻击手段因为厂商提前补漏,没戏了。
对移动 Pwn2Own 这种世界闻名的顶级黑客大赛来说,黑客是有时间提前准备的,之一种的可能性比较小。
下面,雷锋网宅客频道揭秘一个内幕:2017年11月初的这场移动 Pwn2Own上,谷歌的 Pixel成了唯一没有被攻破的目标手机。倒不是黑客们没有发现漏洞,正相反,有一个团队提前几个月就发现了 Pixel 上杀伤力无敌的神组合漏洞。有意思的是,因为黑客觉得这个组合漏洞实在太可怕,应该尽早修复,所以他们在2017年8月就将这个漏洞报个了谷歌,用以修复 Chrome浏览器和Android 系统。
谷歌对这个组合漏洞的价值是高度承认的。
所谓高度,之一,谷歌官方发来了致谢函;第二,谷歌掏了奖金,这笔奖金还不低,据说,谷歌向漏洞提交团队——360 Alpha团队负责人龚广颁发了总额为112500美元的安卓漏洞奖励计划(ASR)史上更高金额的奖金。
说来很矛盾,发现无敌神洞的是360 Alpha团队的黑客,但在上述比赛上,360的安全团队也是参赛者。
为什么自家人没“护着”自家人?这个超级大漏洞没拿出来用?
[台上的龚广、郑文彬以及台下的谭晓生]
宅客频道认为,有几个原因。
这个被 360 命名为“穿云箭”组合漏洞打倒了史上最难破解的安卓手机 Pixel,谷歌的亲儿子。
既然取了“穿云箭”这么霸气的名字,必然有其威力在:这个组合漏洞不仅影响谷歌 Pixel 手机,还会影响绝大多数 Android 手机。一旦被利用,手机上的短信、手机联系人、相册、目标手机内的其他文件,甚至所有安装的应用都可以被远程控制及获取。
安全圈有个常用词叫“神洞”,这组漏洞完全可以称得上是“神洞”,但为什么 360 在 2017 年 8月之前就找到了这个洞但却没有用到 11 月的比赛上?
我们先来复习一下漏洞的修复过程:安全人员发现漏洞-提交给厂商-厂商修复-通知被影响的其他厂商。
360助理总裁兼首席安全工程师郑文彬告诉雷锋网(公众号:雷锋网)宅客频道,这个漏洞于8月提交给谷歌,12月才被修复,耗时四个月。不过一般情况下,一个漏洞的修复花上3~4个月都属于正常情况。更何况,这个组合漏洞不仅是系统层级的漏洞,还牵扯到高通芯片层级的修复,跨公司搞事情,这已经算很快的修复进度了。
360 在1月22日召开的媒体沟通会上给出的原因是:漏洞的修复时间长,如果11月以比赛的方式提交,那么漏洞得不到及时的修复,360在 8月发现了这种神洞,说不定黑产从业者也能发现,与真的修复之间的“时间差”将可能让黑产谋取不可估量的利益。
这确实是移动安全生态的现实之一,但不是 360 抗衡比赛“冠军”诱惑的唯一原因。
这场沟通会上,除了“穿云箭”组合漏洞获得谷歌更高奖励的重头戏,360 还重点介绍了2017年12月,中国信息通信研究院泰尔终端实验室牵头会同设备生产厂商、互联网厂商、安全厂商、高等院校共同发起成立的移动安全联盟(MSA)。
南京市商务女学妹李思怡-知名演员个人工作室超低价批發 伴游叙述:近期有很多盆友在商务预约网后台管理留言板留言,想掌握有关南京市商务女学妹李思怡信息内容。因此我根据百度搜索、知乎问答、百度文库等方式,小...
你好, 针对你的问题发起你做输卵管造影查抄,它对输卵管刺激小,不影响次月试孕。一般查抄用度400阁下。如有需要请留言。祝你康健! 你好: 查抄输卵管是否堵塞需要做输卵管造影查抄,该查抄要求...
商标是品牌在成立的时候必须要申请的一种服务标志,品牌若是不申请商标,很容易被侵权。因此几乎每个品牌成立的时候,都要申请专属于自己的商标。那么对于商标的申请来说,究竟如何申请自己的商标呢?另外申请商...
高手微信号: 专门通过身份证查询某人的开房信息与详细位置。本公司是最著名北京专业调查公司,是北京地区为数不多的专业合法注册调查公司,为您提供可靠的北京定位手机号码找人、开房记录查询、QQ微信定...
本文导读目录: 1、可以用什么软件入侵别人的电脑? 2、谁知道有啥2011年最新的黑客工具包啊? 要全面的 3、黑客软件如何下载 4、黑客软件怎么下载 5、我下了几个黑客用的工具.比如...
一件感人的事作文令我感受到了生活给我的乐趣以及大家助人为乐的态度让我深刻的了解到社会主义国家的好处与强大 读书累了,父母为我们削个苹果,是感动;口渴了,朋友帮你打回一杯水,是感动;沮丧时,得到一句宽慰...