幾天前，谷歌發(fā)布了8月份的安全公告，以批量修復(fù)多個安全漏洞。其中，360安全研究員龔光提交的Android 5.1及以下版本的本地版權(quán)增加高風(fēng)險漏洞也得到了確認(rèn)和修復(fù)，并得到了谷歌的公眾感謝，這是今年第二次360收到谷歌感謝。

照片：Google致謝360安全研究員龔光

根據(jù)Google的安全公告，360發(fā)現(xiàn)該漏洞是一個本地特權(quán)漏洞，存在于Android 5.1及以下版本，一旦成功使用，普通APP可以利用此漏洞獲取一些危險的系統(tǒng)權(quán)限，如監(jiān)控攝像頭，麥克風(fēng)等可能被惡意利用，用戶隱私受到嚴(yán)重威脅。該漏洞被谷歌評為“高風(fēng)險”，并對360安全研究員龔光在公告中表示感謝。

龔光發(fā)現(xiàn)，在處理其他應(yīng)用程序提供的數(shù)據(jù)時，Android的libstagefright有一個潛在的整數(shù)溢出，這會導(dǎo)致內(nèi)存堆損壞，并可能導(dǎo)致mediaserver進程執(zhí)行任意代碼。此漏洞可用于訪問第三方應(yīng)用程序。盡管mediaserver具有SElinux保護功能，但它仍然可以訪問第三方應(yīng)用程序通常無法訪問的音頻流，視頻流和特權(quán)內(nèi)核驅(qū)動的設(shè)備節(jié)點。

據(jù)了解，這并不是360首次發(fā)現(xiàn)Android漏洞并獲得官方谷歌公眾的感謝。早在今年3月，360手機安全研究員龔光就發(fā)現(xiàn)了谷歌Android中的7個漏洞。經(jīng)過Google的官方確認(rèn)，我要感謝360移動安全團隊。

長期以來，由于強調(diào)開放性，Android在安全保護方面本來就不足。谷歌越來越關(guān)注Android的安全性。今年6月，谷歌推出了一項名為Android Security Rewards for Android的安全獎勵項目。

但是，由于漏洞挖掘的門檻較高，很難在流行的系統(tǒng)和軟件中利用流行的黑客來挖掘新的漏洞。漏洞挖掘功能已成為判斷安全團隊技術(shù)實力的重要指標(biāo)。憑借自身的實力，它已成為各大巨頭突然出現(xiàn)的支柱。

除了谷歌之外，360還得到了微軟，蘋果，Adobe和其他巨頭的感謝，感謝他們發(fā)現(xiàn)和協(xié)助修復(fù)漏洞。 8月14日，360安全團隊向Apple提交的兩個漏洞也得到了確認(rèn)和修復(fù)，Apple公開承認(rèn)這兩個漏洞。同一天，Adobe的官方網(wǎng)站公告還透露并報告了本月360Vulcan團隊的三個Flash漏洞。公眾感謝，360Vulcan團隊也是最受中國人歡迎的最大的中國安全團隊;自2009年以來，360已獲得68項微軟安全公告，在全球安全軟件供應(yīng)商中排名第一。

« 懷疑《刺客信條》新屏幕是否為假？用戶提供證據(jù)！ | 《守望先鋒》腦洞三個國家通過戲劇張飛來到華村找到哥哥 »