在一場事先知道攻擊目標(biāo)的頂尖黑客大賽上，如果一個(gè)目標(biāo)安然無恙，有兩個(gè)可能的原因：第一，太難了，大家沒準(zhǔn)備好。第二，事先準(zhǔn)備的漏洞和攻擊手段因?yàn)閺S商提前補(bǔ)漏，沒戲了。

對移動(dòng) Pwn2Own 這種世界聞名的頂級(jí)黑客大賽來說，黑客是有時(shí)間提前準(zhǔn)備的，第一種的可能性比較小。

下面，雷鋒網(wǎng)宅客頻道揭秘一個(gè)內(nèi)幕:2017年11月初的這場移動(dòng) Pwn2Own上，谷歌的 Pixel成了唯一沒有被攻破的目標(biāo)手機(jī)。倒不是黑客們沒有發(fā)現(xiàn)漏洞，正相反，有一個(gè)團(tuán)隊(duì)提前幾個(gè)月就發(fā)現(xiàn)了 Pixel 上殺傷力無敵的神組合漏洞。有意思的是，因?yàn)楹诳陀X得這個(gè)組合漏洞實(shí)在太可怕，應(yīng)該盡早修復(fù)，所以他們在2017年8月就將這個(gè)漏洞報(bào)個(gè)了谷歌，用以修復(fù) Chrome瀏覽器和Android 系統(tǒng)。

谷歌對這個(gè)組合漏洞的價(jià)值是高度承認(rèn)的。

所謂高度，第一，谷歌官方發(fā)來了致謝函；第二，谷歌掏了獎(jiǎng)金，這筆獎(jiǎng)金還不低，據(jù)說，谷歌向漏洞提交團(tuán)隊(duì)——360 Alpha團(tuán)隊(duì)負(fù)責(zé)人龔廣頒發(fā)了總額為112500美元的安卓漏洞獎(jiǎng)勵(lì)計(jì)劃（ASR）史上最高金額的獎(jiǎng)金。

說來很矛盾，發(fā)現(xiàn)無敵神洞的是360 Alpha團(tuán)隊(duì)的黑客，但在上述比賽上，360的安全團(tuán)隊(duì)也是參賽者。

為什么自家人沒“護(hù)著”自家人？這個(gè)超級(jí)大漏洞沒拿出來用?

［臺(tái)上的龔廣、鄭文彬以及臺(tái)下的譚曉生］

宅客頻道認(rèn)為，有幾個(gè)原因。

這個(gè)被 360 命名為“穿云箭”組合漏洞打倒了史上最難破解的安卓手機(jī) Pixel，谷歌的親兒子。

既然取了“穿云箭”這么霸氣的名字，必然有其威力在：這個(gè)組合漏洞不僅影響谷歌 Pixel 手機(jī)，還會(huì)影響絕大多數(shù) Android 手機(jī)。一旦被利用，手機(jī)上的短信、手機(jī)聯(lián)系人、相冊、目標(biāo)手機(jī)內(nèi)的其他文件，甚至所有安裝的應(yīng)用都可以被遠(yuǎn)程控制及獲取。

安全圈有個(gè)常用詞叫“神洞”，這組漏洞完全可以稱得上是“神洞”，但為什么 360 在 2017 年 8月之前就找到了這個(gè)洞但卻沒有用到 11 月的比賽上？

我們先來復(fù)習(xí)一下漏洞的修復(fù)過程:安全人員發(fā)現(xiàn)漏洞-提交給廠商-廠商修復(fù)-通知被影響的其他廠商。

360助理總裁兼首席安全工程師鄭文彬告訴雷鋒網(wǎng)宅客頻道，這個(gè)漏洞于8月提交給谷歌，12月才被修復(fù)，耗時(shí)四個(gè)月。不過一般情況下，一個(gè)漏洞的修復(fù)花上3～4個(gè)月都屬于正常情況。更何況，這個(gè)組合漏洞不僅是系統(tǒng)層級(jí)的漏洞，還牽扯到高通芯片層級(jí)的修復(fù)，跨公司搞事情，這已經(jīng)算很快的修復(fù)進(jìn)度了。

360 在1月22日召開的媒體溝通會(huì)上給出的原因是：漏洞的修復(fù)時(shí)間長，如果11月以比賽的方式提交，那么漏洞得不到及時(shí)的修復(fù)，360在 8月發(fā)現(xiàn)了這種神洞，說不定黑產(chǎn)從業(yè)者也能發(fā)現(xiàn)，與真的修復(fù)之間的“時(shí)間差”將可能讓黑產(chǎn)謀取不可估量的利益。

這確實(shí)是移動(dòng)安全生態(tài)的現(xiàn)實(shí)之一，但不是 360 抗衡比賽“冠軍”誘惑的唯一原因。

這場溝通會(huì)上，除了“穿云箭”組合漏洞獲得谷歌最高獎(jiǎng)勵(lì)的重頭戲，360 還重點(diǎn)介紹了2017年12月，中國信息通信研究院泰爾終端實(shí)驗(yàn)室牽頭會(huì)同設(shè)備生產(chǎn)廠商、互聯(lián)網(wǎng)廠商、安全廠商、高等院校共同發(fā)起成立的移動(dòng)安全聯(lián)盟（MSA）。

鄭文彬說：“我們還是希望發(fā)現(xiàn)問題首先同步給廠商，我們后面不光同步給谷歌，也先同步給聯(lián)盟合作廠商，大家都知道修復(fù)漏洞有一個(gè)很長的周期，我們盡快提前，可能比黑產(chǎn)或者這些攻擊者更早地發(fā)現(xiàn)及修復(fù)漏洞。”

“聯(lián)盟內(nèi)部的披露大家還是有規(guī)矩的，就是你不能把這個(gè)東西隨便說出去，它還是會(huì)將漏洞信息控制在一個(gè)比較小的范圍內(nèi)，先趕快把操作系統(tǒng)補(bǔ)丁打了，除了谷歌出修復(fù)方案，還會(huì)有別的修復(fù)方法，廠商有時(shí)候自己也會(huì)有一些辦法讓這個(gè)漏洞利用成功率能夠低一些?！?60 集團(tuán)首席安全官譚曉生說。

“這對 360 的商業(yè)合作有幫助嗎？你們移動(dòng)安全的業(yè)務(wù)比重是不是會(huì)提升？”雷鋒網(wǎng)問譚曉生。

譚曉生直言：“這與移動(dòng)安全的生態(tài)有關(guān)。在Windows 時(shí)代，微軟一家包攬?zhí)煜拢僮飨到y(tǒng)的控制權(quán)在微軟手中，現(xiàn)在各家手機(jī)廠商的硬件差別特別大，對手機(jī)操作系統(tǒng)的維護(hù)只能由手機(jī)廠商自己搞定。過去，我們把漏洞報(bào)給微軟一家，打好這層關(guān)系即可，但是現(xiàn)在除了谷歌，我們還要和各個(gè)手機(jī)廠商打好關(guān)系，才能做好修復(fù)。在把安全搞好這件事上，游戲規(guī)則已經(jīng)變了。移動(dòng)安全在 360 的業(yè)務(wù)中一直占有很大的比重，但現(xiàn)在形勢變了，手機(jī)的市場碎片化，我們給一家的修復(fù)方案能占多大的市場？我們做了決策轉(zhuǎn)變，越來越傾向于輸出安全能力，比如，我們可以輸出一些 SDK 或安全模塊，哪怕不是打著 360 的品牌，但廠商用了，能力是我們的，這樣也行。”

譚還指出了一點(diǎn)——360 自己也是手機(jī)廠商，怎么讓大家相信，自己會(huì)不看這層關(guān)系真心來做這件事？要靠信譽(yù)和積累。

現(xiàn)在，他們就是在用自己的頂級(jí)黑客能力完成這層信譽(yù)積累和能力展示。

另外，雷鋒網(wǎng)認(rèn)為，這也與 360 集團(tuán)董事長周鴻祎此前一直要走“國家安全”的路有關(guān)。在去年 360 自家的安全大會(huì)上，雷鋒網(wǎng)曾問過周這樣一個(gè)問題——“聽說你現(xiàn)在不太鼓勵(lì)安全人員拿著漏洞參加國外的比賽？”老周稱，漏洞是國家的戰(zhàn)略資源。隨后，老周又喊出了“360 已成為網(wǎng)絡(luò)安全的國家隊(duì)”。

今年初，雷鋒網(wǎng)在對某著名互聯(lián)網(wǎng)公司的安全人士的采訪中獲知了一個(gè)消息：國家有關(guān)部門已經(jīng)發(fā)文稱不鼓勵(lì)國內(nèi)安全公司攜漏洞參加國外的黑客比賽。這樣看來，這次“穿云箭”這種超級(jí)大漏洞沒有拿到國外的頂級(jí)黑客比賽上用，無論是否與這一層原因有關(guān)，至少也符合老周為 360 定下的大“基調(diào)”。

最后，你會(huì)發(fā)現(xiàn)有一層受益者——手握手機(jī)的你。無論是商業(yè)、移動(dòng)安全生態(tài)，還是一家公司的決策變化，縮短漏洞的修復(fù)時(shí)間，讓手機(jī)廠商和安全廠家盡可能地跑在黑產(chǎn)前頭修復(fù)漏洞，如果這件事情真的能徹底做好，你的移動(dòng)生活又多了一分安全。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。