內(nèi)幕:谷歌花大價錢獎勵的超級漏洞，360打黑客比賽為什么不用

在一場事先知道攻擊目標(biāo)的頂尖黑客大賽上，如果一個目標(biāo)安然無恙，有兩個可能的原因：第一，太難了，大家沒準(zhǔn)備好。第二，事先準(zhǔn)備的漏洞和攻擊手段因為廠商提前補(bǔ)漏，沒戲了。

對移動 Pwn2Own 這種世界聞名的頂級黑客大賽來說，黑客是有時間提前準(zhǔn)備的，第一種的可能性比較小。

下面，雷鋒網(wǎng)宅客頻道揭秘一個內(nèi)幕:2017年11月初的這場移動 Pwn2Own上，谷歌的 Pixel成了唯一沒有被攻破的目標(biāo)手機(jī)。倒不是黑客們沒有發(fā)現(xiàn)漏洞，正相反，有一個團(tuán)隊提前幾個月就發(fā)現(xiàn)了 Pixel 上殺傷力無敵的神組合漏洞。有意思的是，因為黑客覺得這個組合漏洞實在太可怕，應(yīng)該盡早修復(fù)，所以他們在2017年8月就將這個漏洞報個了谷歌，用以修復(fù) Chrome瀏覽器和Android 系統(tǒng)。

谷歌對這個組合漏洞的價值是高度承認(rèn)的。

所謂高度，第一，谷歌官方發(fā)來了致謝函；第二，谷歌掏了獎金，這筆獎金還不低，據(jù)說，谷歌向漏洞提交團(tuán)隊——360 Alpha團(tuán)隊負(fù)責(zé)人龔廣頒發(fā)了總額為112500美元的安卓漏洞獎勵計劃（ASR）史上最高金額的獎金。

說來很矛盾，發(fā)現(xiàn)無敵神洞的是360 Alpha團(tuán)隊的黑客，但在上述比賽上，360的安全團(tuán)隊也是參賽者。

為什么自家人沒“護(hù)著”自家人？這個超級大漏洞沒拿出來用?

內(nèi)幕:谷歌花大價錢獎勵的超級漏洞，360打黑客比賽為什么不用

［臺上的龔廣、鄭文彬以及臺下的譚曉生］

宅客頻道認(rèn)為，有幾個原因。

這個被 360 命名為“穿云箭”組合漏洞打倒了史上最難破解的安卓手機(jī) Pixel，谷歌的親兒子。

既然取了“穿云箭”這么霸氣的名字，必然有其威力在：這個組合漏洞不僅影響谷歌 Pixel 手機(jī)，還會影響絕大多數(shù) Android 手機(jī)。一旦被利用，手機(jī)上的短信、手機(jī)聯(lián)系人、相冊、目標(biāo)手機(jī)內(nèi)的其他文件，甚至所有安裝的應(yīng)用都可以被遠(yuǎn)程控制及獲取。

安全圈有個常用詞叫“神洞”，這組漏洞完全可以稱得上是“神洞”，但為什么 360 在 2017 年 8月之前就找到了這個洞但卻沒有用到 11 月的比賽上？

我們先來復(fù)習(xí)一下漏洞的修復(fù)過程:安全人員發(fā)現(xiàn)漏洞-提交給廠商-廠商修復(fù)-通知被影響的其他廠商。

360助理總裁兼首席安全工程師鄭文彬告訴雷鋒網(wǎng)宅客頻道，這個漏洞于8月提交給谷歌，12月才被修復(fù)，耗時四個月。不過一般情況下，一個漏洞的修復(fù)花上3～4個月都屬于正常情況。更何況，這個組合漏洞不僅是系統(tǒng)層級的漏洞，還牽扯到高通芯片層級的修復(fù)，跨公司搞事情，這已經(jīng)算很快的修復(fù)進(jìn)度了。

360 在1月22日召開的媒體溝通會上給出的原因是：漏洞的修復(fù)時間長，如果11月以比賽的方式提交，那么漏洞得不到及時的修復(fù)，360在 8月發(fā)現(xiàn)了這種神洞，說不定黑產(chǎn)從業(yè)者也能發(fā)現(xiàn)，與真的修復(fù)之間的“時間差”將可能讓黑產(chǎn)謀取不可估量的利益。

這確實是移動安全生態(tài)的現(xiàn)實之一，但不是 360 抗衡比賽“冠軍”誘惑的唯一原因。

這場溝通會上，除了“穿云箭”組合漏洞獲得谷歌最高獎勵的重頭戲，360 還重點介紹了2017年12月，中國信息通信研究院泰爾終端實驗室牽頭會同設(shè)備生產(chǎn)廠商、互聯(lián)網(wǎng)廠商、安全廠商、高等院校共同發(fā)起成立的移動安全聯(lián)盟（MSA）。

鄭文彬說：“我們還是希望發(fā)現(xiàn)問題首先同步給廠商，我們后面不光同步給谷歌，也先同步給聯(lián)盟合作廠商，大家都知道修復(fù)漏洞有一個很長的周期，我們盡快提前，可能比黑產(chǎn)或者這些攻擊者更早地發(fā)現(xiàn)及修復(fù)漏洞?！?/p>

“聯(lián)盟內(nèi)部的披露大家還是有規(guī)矩的，就是你不能把這個東西隨便說出去，它還是會將漏洞信息控制在一個比較小的范圍內(nèi)，先趕快把操作系統(tǒng)補(bǔ)丁打了，除了谷歌出修復(fù)方案，還會有別的修復(fù)方法，廠商有時候自己也會有一些辦法讓這個漏洞利用成功率能夠低一些?！?60 集團(tuán)首席安全官譚曉生說。

“這對 360 的商業(yè)合作有幫助嗎？你們移動安全的業(yè)務(wù)比重是不是會提升？”雷鋒網(wǎng)問譚曉生。

譚曉生直言：“這與移動安全的生態(tài)有關(guān)。在Windows 時代，微軟一家包攬?zhí)煜拢僮飨到y(tǒng)的控制權(quán)在微軟手中，現(xiàn)在各家手機(jī)廠商的硬件差別特別大，對手機(jī)操作系統(tǒng)的維護(hù)只能由手機(jī)廠商自己搞定。過去，我們把漏洞報給微軟一家，打好這層關(guān)系即可，但是現(xiàn)在除了谷歌，我們還要和各個手機(jī)廠商打好關(guān)系，才能做好修復(fù)。在把安全搞好這件事上，游戲規(guī)則已經(jīng)變了。移動安全在 360 的業(yè)務(wù)中一直占有很大的比重，但現(xiàn)在形勢變了，手機(jī)的市場碎片化，我們給一家的修復(fù)方案能占多大的市場？我們做了決策轉(zhuǎn)變，越來越傾向于輸出安全能力，比如，我們可以輸出一些 SDK 或安全模塊，哪怕不是打著 360 的品牌，但廠商用了，能力是我們的，這樣也行?！?/strong>

譚還指出了一點——360 自己也是手機(jī)廠商，怎么讓大家相信，自己會不看這層關(guān)系真心來做這件事？要靠信譽和積累。

現(xiàn)在，他們就是在用自己的頂級黑客能力完成這層信譽積累和能力展示。

另外，雷鋒網(wǎng)(公眾號：雷鋒網(wǎng))認(rèn)為，這也與 360 集團(tuán)董事長周鴻祎此前一直要走“國家安全”的路有關(guān)。在去年 360 自家的安全大會上，雷鋒網(wǎng)曾問過周這樣一個問題——“聽說你現(xiàn)在不太鼓勵安全人員拿著漏洞參加國外的比賽？”老周稱，漏洞是國家的戰(zhàn)略資源。隨后，老周又喊出了“360 已成為網(wǎng)絡(luò)安全的國家隊”。

今年初，雷鋒網(wǎng)在對某著名互聯(lián)網(wǎng)公司的安全人士的采訪中獲知了一個消息：國家有關(guān)部門已經(jīng)發(fā)文稱不鼓勵國內(nèi)安全公司攜漏洞參加國外的黑客比賽。這樣看來，這次“穿云箭”這種超級大漏洞沒有拿到國外的頂級黑客比賽上用，無論是否與這一層原因有關(guān)，至少也符合老周為 360 定下的大“基調(diào)”。

最后，你會發(fā)現(xiàn)有一層受益者——手握手機(jī)的你。無論是商業(yè)、移動安全生態(tài)，還是一家公司的決策變化，縮短漏洞的修復(fù)時間，讓手機(jī)廠商和安全廠家盡可能地跑在黑產(chǎn)前頭修復(fù)漏洞，如果這件事情真的能徹底做好，你的移動生活又多了一分安全。

更多精彩消息請關(guān)注投資家網(wǎng)（微信：touzijias；網(wǎng)站：jubohaotong.com）。