25万美金奖励

　　360发现安卓漏洞获谷歌11.25万美金奖励

　　上周，谷歌官方发文致谢360 Alpha团队，为该团队负责人龚广颁发总额为112500美金的安卓漏洞奖励计划（ASR）史上最高金额的奖金，奖励该团队在2017年8月向谷歌提交的关于攻破Pixel的“穿云箭”组合漏洞报告。

　　1月22日，360 Alpha团队首次对外披露了该漏洞的情况。据介绍，“穿云箭”组合漏洞可以彻底远程攻破谷歌Pixel，对用户的隐私及财产安全造成极大的威胁。360 Alpha团队在17年8月将该组合漏洞报告给谷歌，已成功帮助其修复Android 系统和Chrome浏览器。这两个漏洞分别是基于Chrome浏览器的V8引擎漏洞CVE－2017－5116，以及Android系统漏洞CVE－2017－14904，是ASR首个可以远程有效利用的系列漏洞。其中，Chrome浏览器漏洞CVE－2017－5116可被用于在Chrome浏览器沙盒内远程执行代码。

　　谷歌颁发的112500美金的奖励中，包括105000的Android奖和7500的Chrome奖，这是自2015年谷歌设立安卓漏洞奖励计划（ASR）三年来给出的史上最高奖励。

　　之所以此次Google会颁发如此高的奖金，一方面是由于“穿云箭”组合漏洞的影响面广，未修复前大部分安卓都可能会被黑客利用这个组合漏洞攻破。另一方面，该漏洞是基于底层系统存在的，能影响设备上所有应用，甚至包括短信等基础应用，造成的危害最大。不法分子可利用该漏洞获取用户短信验证码、支付应用权限等，对用户的个人隐私和财产都造成极大威胁。

　　目前，我国Android系统用户占比超过50％

　　，数量非常庞大。然而由于补丁的下放延迟，导致市场上的Android会存在漏洞修复相对滞后的情况。360卫士与中国泰尔实验室联合发布的统计数据显示，在测试中，平均未修复漏洞比为19％，平均每款终端含有未修复漏洞5个左右。

　　大多数厂商，对于Android系统漏洞的修复都是在等待谷歌官方的补丁。然而，从白帽子发现漏洞提交给谷歌，谷歌收到漏洞报告进行修复，最后下发补丁给厂商需要一段相对漫长的时间。在这段期间，用户往往会因为各类漏洞而面临着一定的安全威胁。（第一财经）