內幕:谷歌花大價錢獎勵的超級漏洞，360打黑客比賽為什么不用

在一場事先知道攻擊目標的頂尖黑客大賽上，如果一個目標安然無恙，有兩個可能的原因：第一，太難了，大家沒準備好。第二，事先準備的漏洞和攻擊手段因為廠商提前補漏，沒戲了。

對移動 Pwn2Own 這種世界聞名的頂級黑客大賽來說，黑客是有時間提前準備的，第一種的可能性比較小。

下面，雷鋒網宅客頻道揭秘一個內幕:2017年11月初的這場移動 Pwn2Own上，谷歌的 Pixel成了唯一沒有被攻破的目標手機。倒不是黑客們沒有發現漏洞，正相反，有一個團隊提前幾個月就發現了 Pixel 上殺傷力無敵的神組合漏洞。有意思的是，因為黑客覺得這個組合漏洞實在太可怕，應該盡早修復，所以他們在2017年8月就將這個漏洞報個了谷歌，用以修復 Chrome瀏覽器和Android 系統。

谷歌對這個組合漏洞的價值是高度承認的。

所謂高度，第一，谷歌官方發來了致謝函；第二，谷歌掏了獎金，這筆獎金還不低，據說，谷歌向漏洞提交團隊——360 Alpha團隊負責人龔廣頒發了總額為112500美元的安卓漏洞獎勵計劃（ASR）史上最高金額的獎金。

說來很矛盾，發現無敵神洞的是360 Alpha團隊的黑客，但在上述比賽上，360的安全團隊也是參賽者。

為什么自家人沒“護著”自家人？這個超級大漏洞沒拿出來用?

［臺上的龔廣、鄭文彬以及臺下的譚曉生］

宅客頻道認為，有幾個原因。

這個被 360 命名為“穿云箭”組合漏洞打倒了史上最難破解的安卓手機 Pixel，谷歌的親兒子。

既然取了“穿云箭”這么霸氣的名字，必然有其威力在：這個組合漏洞不僅影響谷歌 Pixel 手機，還會影響絕大多數 Android 手機。一旦被利用，手機上的短信、手機聯系人、相冊、目標手機內的其他文件，甚至所有安裝的應用都可以被遠程控制及獲取。

安全圈有個常用詞叫“神洞”，這組漏洞完全可以稱得上是“神洞”，但為什么 360 在 2017 年 8月之前就找到了這個洞但卻沒有用到 11 月的比賽上？

我們先來復習一下漏洞的修復過程:安全人員發現漏洞-提交給廠商-廠商修復-通知被影響的其他廠商。

360助理總裁兼首席安全工程師鄭文彬告訴雷鋒網宅客頻道，這個漏洞于8月提交給谷歌，12月才被修復，耗時四個月。不過一般情況下，一個漏洞的修復花上3～4個月都屬于正常情況。更何況，這個組合漏洞不僅是系統層級的漏洞，還牽扯到高通芯片層級的修復，跨公司搞事情，這已經算很快的修復進度了。

360 在1月22日召開的媒體溝通會上給出的原因是：漏洞的修復時間長，如果11月以比賽的方式提交，那么漏洞得不到及時的修復，360在 8月發現了這種神洞，說不定黑產從業者也能發現，與真的修復之間的“時間差”將可能讓黑產謀取不可估量的利益。

這確實是移動安全生態的現實之一，但不是 360 抗衡比賽“冠軍”誘惑的唯一原因。

這場溝通會上，除了“穿云箭”組合漏洞獲得谷歌最高獎勵的重頭戲，360 還重點介紹了2017年12月，中國信息通信研究院泰爾終端實驗室牽頭會同設備生產廠商、互聯網廠商、安全廠商、高等院校共同發起成立的移動安全聯盟（MSA）。

鄭文彬說：“我們還是希望發現問題首先同步給廠商，我們后面不光同步給谷歌，也先同步給聯盟合作廠商，大家都知道修復漏洞有一個很長的周期，我們盡快提前，可能比黑產或者這些攻擊者更早地發現及修復漏洞。”

“聯盟內部的披露大家還是有規矩的，就是你不能把這個東西隨便說出去，它還是會將漏洞信息控制在一個比較小的范圍內，先趕快把操作系統補丁打了，除了谷歌出修復方案，還會有別的修復方法，廠商有時候自己也會有一些辦法讓這個漏洞利用成功率能夠低一些。”360 集團首席安全官譚曉生說。

“這對 360 的商業合作有幫助嗎？你們移動安全的業務比重是不是會提升？”雷鋒網問譚曉生。

譚曉生直言：“這與移動安全的生態有關。在Windows 時代，微軟一家包攬天下，操作系統的控制權在微軟手中，現在各家手機廠商的硬件差別特別大，對手機操作系統的維護只能由手機廠商自己搞定。過去，我們把漏洞報給微軟一家，打好這層關系即可，但是現在除了谷歌，我們還要和各個手機廠商打好關系，才能做好修復。在把安全搞好這件事上，游戲規則已經變了。移動安全在 360 的業務中一直占有很大的比重，但現在形勢變了，手機的市場碎片化，我們給一家的修復方案能占多大的市場？我們做了決策轉變，越來越傾向于輸出安全能力，比如，我們可以輸出一些 SDK 或安全模塊，哪怕不是打著 360 的品牌，但廠商用了，能力是我們的，這樣也行。”

譚還指出了一點——360 自己也是手機廠商，怎么讓大家相信，自己會不看這層關系真心來做這件事？要靠信譽和積累。

現在，他們就是在用自己的頂級黑客能力完成這層信譽積累和能力展示。

另外，雷鋒網認為，這也與 360 集團董事長周鴻祎此前一直要走“國家安全”的路有關。在去年 360 自家的安全大會上，雷鋒網曾問過周這樣一個問題——“聽說你現在不太鼓勵安全人員拿著漏洞參加國外的比賽？”老周稱，漏洞是國家的戰略資源。隨后，老周又喊出了“360 已成為網絡安全的國家隊”。

今年初，雷鋒網在對某著名互聯網公司的安全人士的采訪中獲知了一個消息：國家有關部門已經發文稱不鼓勵國內安全公司攜漏洞參加國外的黑客比賽。這樣看來，這次“穿云箭”這種超級大漏洞沒有拿到國外的頂級黑客比賽上用，無論是否與這一層原因有關，至少也符合老周為 360 定下的大“基調”。

最后，你會發現有一層受益者——手握手機的你。無論是商業、移動安全生態，還是一家公司的決策變化，縮短漏洞的修復時間，讓手機廠商和安全廠家盡可能地跑在黑產前頭修復漏洞，如果這件事情真的能徹底做好，你的移動生活又多了一分安全。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。