360联合移动安全联盟推“先行者”行动

北京商报讯（记者 魏蔚）为帮助国内广大手机厂商减少等待补丁下放时间，1月22日，360携手移动安全联盟（MSA）推出了“先行者”行动计划。未来，“先行者”行动将配合移动安全联盟漏洞修补相关计划，360在发现漏洞信息的第一时间与移动安全联盟成员共享，与合作厂商同步，判断漏洞风险，并联合制定防御方案，确保最短时间内对漏洞进行修复。

2017年8月，360 Alpha团队向谷歌提交了关于攻破Pixel手机的“穿云箭”组合漏洞报告。“穿云箭”组合漏洞可以彻底远程攻破谷歌Pixel手机，对用户的隐私及财产安全造成极大的威胁。为了保护用户的手机安全，目前360已成功帮助其修复Android 系统和Chrome浏览器。

上周，谷歌官方发文致谢360 Alpha团队，并向360 Alpha团队负责人龚广颁发了总额为11.25万美金的安卓漏洞奖励计划（ASR）史上最高金额的奖金。

之所以此次Google会颁发如此高的奖金，一方面是由于“穿云箭”组合漏洞的影响面广，未修复前大部分安卓手机都可能会被黑客利用这个组合漏洞攻破。另一方面该漏洞是基于底层系统存在的，能影响手机设备上所有应用，甚至包括电话短信等基础应用，造成的危害最大。不法分子可利用该漏洞获取用户短信验证码、支付应用权限等，对用户的个人隐私和财产都造成极大威胁。

“但实际上，360 Alpha 团队在2017年8月就发现了’穿云箭’组合漏洞，并在第一时间就提交给谷歌官方。”360助理总裁兼首席安全工程师郑文彬进一步补充道。

按照传统流程，大多数手机厂商，对于Android系统漏洞的修复，都是在等待谷歌官方的补丁。然而，从白帽子发现漏洞提交给谷歌，谷歌收到漏洞报告进行修复，最后下发补丁给厂商需要一段相对漫长的时间。在这段期间，手机用户往往会因为各类漏洞而面临着一定的安全威胁。

目前，我国Android系统手机用户占比超过50%，数量庞大。由于补丁的下放延迟，导致市场上的Android手机会存在漏洞修复相对滞后的情况。360手机卫士与中国泰尔实验室联合发布的统计数据显示，在测试手机中，平均未修复漏洞比为19%，平均每款终端含有未修复漏洞5个左右。

为此，作为移动安全联盟理事成员的360，与移动安全联盟携手，推出“先行者”行动，与移动安全联盟一起，帮助国内移动厂商成为漏洞修补的“先行者”。据了解，移动安全联盟于2017年12月成立，由中国信息通信研究院泰尔终端实验室牵头会同设备生产厂商、互联网厂商、安全厂商、高等院校共同发起成立，目前有40多个联盟伙伴。

未来，“先行者”行动将配合移动安全联盟漏洞修补相关计划，360在发现漏洞信息的第一时间与移动安全联盟成员共享，从政策、标准、检测、修复、应急响应等方面积极推进，与合作厂商同步，判断漏洞风险，并联合制定防御方案，在最短的时间内对漏洞进行修复。同时，也鼓励移动安全联盟成员积极共享自己的技术力量，让中国移动厂商能够成为全球移动安全漏洞修复的“先行者”。