安全大脑捕获“梯云纵” 360团队刷新Google漏洞奖金纪录

北京商报讯（记者 魏蔚）11月25日，北京商报记者从360公司获悉，Google近日发布最新安全公告，公开致谢360 Alpha Lab首个发现并提交关于攻破Pixel手机的“梯云纵”漏洞链报告，Google向360 Alpha Lab负责人龚广颁发总金额为201337美元的漏洞奖励。

据悉，捕获“梯云纵”漏洞是360安全大脑中安全专家云下的360 Alpha Lab，201337美元不仅成为Google漏洞奖励计划（VRP）有史以来最高的奖金纪录，也超越了所有厂商所开出的单项漏洞最高奖励。

今年8月，360 Alpha Lab在Google Pixel手机里发现了一组具有持久性的全链远程代码执行漏洞，利用该漏洞链可一键远程获取手机最高控制权限。作为独立发现者，360 Alpha Lab将其命名为“梯云纵”漏洞。

360 Alpha Lab在测试中证实，利用“梯云纵”漏洞链可成功绕过Google的安全防护机制，顺利攻破Pixel 3手机。而Pixel 3的失陷也意味着，“梯云纵”漏洞几乎影响所有Android系统和Chrome浏览器，若黑客一旦利用即可任意获取用户敏感信息，对用户个人隐私和财产造成极大威胁。

据悉，360 Alpha Lab发现并确认“梯云纵”具体危害和可影响范围后，第一时间将该漏洞提交至Google官方，协助Google实现对“梯云纵”漏洞链问题的修复。

在Google致谢中，360 Alpha Lab分别从Android安全奖励计划（ASR）中获得了161337美元的奖励，并从Chrome奖励计划获得了40000美元的奖励，总计201337美元，这是所有Google VRP奖励计划中的历史最高奖励。

事实上，自2015年发布Google VRP奖励计划以来，最大漏洞奖金一直锁定为200000美元。此外，Google的基本赏金通常为500美元，但针对特别严重的漏洞，Google设置了Leet（或“1337”）漏洞赏金计划，以特殊的1337美元褒奖那些“特别严重或特别聪明”的漏洞发现。

据悉，360安全大脑下的360 Alpha Lab，是由360两大团队Alpha Team 和C0RE Team组建而成，他们已连续多次获得Google公开致谢：

2018年1月，360 Alpha Lab凭着发现“穿云箭”组合漏洞，拿到Android安全奖励计划（ASR）史上最高金额112500美元奖金；

2019年3月，360 Alpha Lab发现一枚可以用来ROOT目前国内外主流Android手机的“内核通杀”型漏洞——“水滴”漏洞（CVE-2019-2025），Google发表公开致谢，并奖励漏洞奖金14000美元。

360 Alpha Lab的挖洞能力，是360整个安全团队实力的缩影。360安全团队不仅连续包揽了Google、微软、苹果三巨头的最高漏洞奖励，并已累计发现包括苹果、Google、微软、华为、高通、VMWare等在内的全球主流厂商CVE漏洞超过2000个（平均每天挖掘1.3个漏洞），成为全球获得致谢次数最多的安全厂商。