在一场事先知道攻击目标的顶尖黑客大赛上，如果一个目标安然无恙，有两个可能的原因：之一，太难了，大家没准备好。第二，事先准备的漏洞和攻击手段因为厂商提前补漏，没戏了。

对移动 Pwn2Own 这种世界闻名的顶级黑客大赛来说，黑客是有时间提前准备的，之一种的可能性比较小。

下面，雷锋网宅客频道揭秘一个内幕:2017年11月初的这场移动 Pwn2Own上，谷歌的 Pixel成了唯一没有被攻破的目标手机。倒不是黑客们没有发现漏洞，正相反，有一个团队提前几个月就发现了 Pixel 上杀伤力无敌的神组合漏洞。有意思的是，因为黑客觉得这个组合漏洞实在太可怕，应该尽早修复，所以他们在2017年8月就将这个漏洞报个了谷歌，用以修复 Chrome浏览器和Android 系统。

谷歌对这个组合漏洞的价值是高度承认的。

所谓高度，之一，谷歌官方发来了致谢函；第二，谷歌掏了奖金，这笔奖金还不低，据说，谷歌向漏洞提交团队——360 Alpha团队负责人龚广颁发了总额为112500美元的安卓漏洞奖励计划（ASR）史上更高金额的奖金。

说来很矛盾，发现无敌神洞的是360 Alpha团队的黑客，但在上述比赛上，360的安全团队也是参赛者。

为什么自家人没“护着”自家人？这个超级大漏洞没拿出来用?

［台上的龚广、郑文彬以及台下的谭晓生］

宅客频道认为，有几个原因。

这个被 360 命名为“穿云箭”组合漏洞打倒了史上最难破解的安卓手机 Pixel，谷歌的亲儿子。

既然取了“穿云箭”这么霸气的名字，必然有其威力在：这个组合漏洞不仅影响谷歌 Pixel 手机，还会影响绝大多数 Android 手机。一旦被利用，手机上的短信、手机联系人、相册、目标手机内的其他文件，甚至所有安装的应用都可以被远程控制及获取。

安全圈有个常用词叫“神洞”，这组漏洞完全可以称得上是“神洞”，但为什么 360 在 2017 年 8月之前就找到了这个洞但却没有用到 11 月的比赛上？

我们先来复习一下漏洞的修复过程:安全人员发现漏洞-提交给厂商-厂商修复-通知被影响的其他厂商。

360助理总裁兼首席安全工程师郑文彬告诉雷锋网宅客频道，这个漏洞于8月提交给谷歌，12月才被修复，耗时四个月。不过一般情况下，一个漏洞的修复花上3～4个月都属于正常情况。更何况，这个组合漏洞不仅是系统层级的漏洞，还牵扯到高通芯片层级的修复，跨公司搞事情，这已经算很快的修复进度了。

360 在1月22日召开的媒体沟通会上给出的原因是：漏洞的修复时间长，如果11月以比赛的方式提交，那么漏洞得不到及时的修复，360在 8月发现了这种神洞，说不定黑产从业者也能发现，与真的修复之间的“时间差”将可能让黑产谋取不可估量的利益。

这确实是移动安全生态的现实之一，但不是 360 抗衡比赛“冠军”诱惑的唯一原因。

这场沟通会上，除了“穿云箭”组合漏洞获得谷歌更高奖励的重头戏，360 还重点介绍了2017年12月，中国信息通信研究院泰尔终端实验室牵头会同设备生产厂商、互联网厂商、安全厂商、高等院校共同发起成立的移动安全联盟（MSA）。

郑文彬说：“我们还是希望发现问题首先同步给厂商，我们后面不光同步给谷歌，也先同步给联盟合作厂商，大家都知道修复漏洞有一个很长的周期，我们尽快提前，可能比黑产或者这些攻击者更早地发现及修复漏洞。”

“联盟内部的披露大家还是有规矩的，就是你不能把这个东西随便说出去，它还是会将漏洞信息控制在一个比较小的范围内，先赶快把操作系统补丁打了，除了谷歌出修复方案，还会有别的修复 *** ，厂商有时候自己也会有一些办法让这个漏洞利用成功率能够低一些。”360 集团首席安全官谭晓生说。

“这对 360 的商业合作有帮助吗？你们移动安全的业务比重是不是会提升？”雷锋网问谭晓生。

谭晓生直言：“这与移动安全的生态有关。在Windows 时代，微软一家包揽天下，操作系统的控制权在微软手中，现在各家手机厂商的硬件差别特别大，对手机操作系统的维护只能由手机厂商自己搞定。过去，我们把漏洞报给微软一家，打好这层关系即可，但是现在除了谷歌，我们还要和各个手机厂商打好关系，才能做好修复。在把安全搞好这件事上，游戏规则已经变了。移动安全在 360 的业务中一直占有很大的比重，但现在形势变了，手机的市场碎片化，我们给一家的修复方案能占多大的市场？我们做了决策转变，越来越倾向于输出安全能力，比如，我们可以输出一些 SDK 或安全模块，哪怕不是打着 360 的品牌，但厂商用了，能力是我们的，这样也行。”