近日,谷歌发布了6月安全公告,批量修复了安卓平台的多个安全漏洞。其中360手机卫士安全研究员陈豪、龚广、杨文林提交的4个高危漏洞和1个中危漏洞已被修复,并获得谷歌的公开致谢,这也是360手机卫士团队累计第9次获得谷歌公开致谢。截至目前,360手机卫士团队共发现了21个漏洞,其中19个Android漏洞,3个Chrome漏洞。
图1:360手机卫士安全研究员陈豪、龚广、杨文林获谷歌致谢
360手机卫士安全研究员发现高通WiFi驱动多个高危漏洞
近期,手机驱动类漏洞屡被曝光,智能手机WiFi驱动漏洞成为安全研究员的关注焦点。据悉,360手机卫士安全研究员此次发现的漏洞均为高通WiFi驱动中的漏洞,不法分子利用这些漏洞,可以直接Root手机或辅助获取手机Root权限,严重威胁手机系统安全。
图2:360手机卫士安全研究员发现4个高危漏洞
6月谷歌安全公告致谢360手机卫士安全研究员提交的漏洞中,有4个属于高通WiFi驱动的权限提升漏洞,可以导致恶意应用在内核上下文中执行任意代码,进而Root手机。
图3:360安全研究员提交的1个高通WiFi驱动的信息泄露漏洞
高通wifi驱动中,还存在信息泄露漏洞。360手机卫士安全研究员介绍,利用这种漏洞,手机中的恶意应用可以获取到自身权限以外的内核态数据。这种漏洞一般可以用来辅助获取root权限,因此被定为中危漏洞。
Android系统开放性成双刃剑
利用系统漏洞获取手机Root权限存在极大风险,如系统数据丢失、手机无法正常使用、软件使用异常。更为严重的是,手机Root后恶意软件可以比平常更容易入侵手机,并可能长期潜伏在手机中执行恶意行为。当手机用户登录微信、支付宝、淘宝、手机银行或其他账户时,个人信息可能就会被人窃取,个人财产也存在被人盗取的风险。
国外市场调查机构IDC发布了全球智能手机出货量的最新分析预测报告,从预测数据来看,2016年智能手机出货量中安卓手机占据主导地位。但另一方面,Android系统的开放性系统的开放性又使得其在安全方面需要更多防护。谷歌通过与安全厂商互联的方式最大限度利用外脑发掘系统漏洞,通过与安全厂商的共同努力解决开放平台的安全问题。
360手机卫士安全团队数次首家查杀高危木马、提报漏洞,已多次收到谷歌的公开致谢。谷歌6月安全公告还对360 IceSword Lab、C0RE Team提交的十余个安全漏洞进行公开致谢,此外,360因发现并协助修复漏洞还获得来自微软、苹果、Adobe等巨头的致谢。业内分析人士认为,及时对漏洞及安全威胁作出快速反应,极大的体现了360作为国内最大安全厂商的专业性。