发布时间:2019-9-1 分类: 电商动态
几天前,谷歌发布了8月份的安全公告,以批量修复多个安全漏洞。其中,360安全研究员龚光提交的Android 5.1及以下版本的本地版权增加高风险漏洞也得到了确认和修复,并得到了谷歌的公众感谢,这是今年第二次360收到谷歌感谢。
照片:Google致谢360安全研究员龚光
根据Google的安全公告,360发现该漏洞是一个本地特权漏洞,存在于Android 5.1及以下版本,一旦成功使用,普通APP可以利用此漏洞获取一些危险的系统权限,如监控摄像头,麦克风等可能被恶意利用,用户隐私受到严重威胁。该漏洞被谷歌评为“高风险”,并对360安全研究员龚光在公告中表示感谢。
龚光发现,在处理其他应用程序提供的数据时,Android的libstagefright有一个潜在的整数溢出,这会导致内存堆损坏,并可能导致mediaserver进程执行任意代码。此漏洞可用于访问第三方应用程序。尽管mediaserver具有SElinux保护功能,但它仍然可以访问第三方应用程序通常无法访问的音频流,视频流和特权内核驱动的设备节点。
据了解,这并不是360首次发现Android漏洞并获得官方谷歌公众的感谢。早在今年3月,360手机安全研究员龚光就发现了谷歌Android中的7个漏洞。经过Google的官方确认,我要感谢360移动安全团队。
长期以来,由于强调开放性,Android在安全保护方面本来就不足。谷歌越来越关注Android的安全性。今年6月,谷歌推出了一项名为Android Security Rewards for Android的安全奖励项目。
但是,由于漏洞挖掘的门槛较高,很难在流行的系统和软件中利用流行的黑客来挖掘新的漏洞。漏洞挖掘功能已成为判断安全团队技术实力的重要指标。凭借自身的实力,它已成为各大巨头突然出现的支柱。
除了谷歌之外,360还得到了微软,苹果,Adobe和其他巨头的感谢,感谢他们发现和协助修复漏洞。 8月14日,360安全团队向Apple提交的两个漏洞也得到了确认和修复,Apple公开承认这两个漏洞。同一天,Adobe的官方网站公告还透露并报告了本月360Vulcan团队的三个Flash漏洞。公众感谢,360Vulcan团队也是最受中国人欢迎的最大的中国安全团队;自2009年以来,360已获得68项微软安全公告,在全球安全软件供应商中排名第一。
