谷歌再次致谢360：独家发现安卓5.1本地提权高危漏洞

日前，谷歌发布了8月安全公告，批量修复了多个安全漏洞。其中，360安全研究员龚广提交的安卓5.1及以下版本的本地提权高危漏洞也被确认和修复，并获得了谷歌公开致谢，这也是360今年第二次收到谷歌致谢。

图：谷歌致谢360安全研究员龚广

根据谷歌的安全公告显示，360此次发现的漏洞是一个本地提权漏洞，存在于安卓5.1及以下所有版本，一旦被成功利用，普通APP可以通过这个漏洞获取一些危险的系统权限，比如监控摄像头、麦克风等都有可能遭到恶意利用，用户隐私受到严重威胁。该漏洞被谷歌评级为“高危”，并在公告中对360安全研究员龚广表示了感谢。

龚广发现，当处理其他应用提供的数据时，安卓系统的libstagefright存在一个潜在的整数溢出，这个溢出将导致内存堆破坏，并可能导致以mediaserver进程执行任意代码。这个漏洞能被用来获取一些没有被授予第三方应用的权限，尽管mediaserver有SElinux的保护，它依然可以访问音频流、视频流以及一些第三方应用程序通常不能访问的特权内核驱动设备节点。

据了解，这已不是360首次发现安卓漏洞并获得谷歌官方公开致谢。早在今年3月，360手机卫士安全研究员龚广就发现了谷歌Android存在的7个漏洞。在经过谷歌官方确认后，特向360手机安全团队致谢。

一直以来，安卓系统由于强调开放性，在安全防护方面有先天不足。谷歌对安卓的安全也越来越重视，今年6月，谷歌专门针对安卓启动了一个名为Android Security Rewards的安全奖励项目，重金征集漏洞。

不过，由于漏洞挖掘的门槛比较高，在流行系统和软件上与全球黑客竞速挖出新漏洞，已经难上加难，漏洞挖掘能力也因此成为判断一个安全团队技术实力的重要指标，360已经凭借自身实力成为各大巨头漏洞致谢榜上异军突起的骨干力量。

除了谷歌之外，360因发现并协助修复漏洞还获得来了微软、苹果、Adobe等巨头的致谢。8月14日，360安全团队向苹果提交的两个漏洞也被确认并修复，并获得苹果公开致谢；当日，Adobe的官网公告中，也向本月发现和报告了3个Flash漏洞的360Vulcan Team公开致谢，360Vulcan Team也是此次获得Adobe致谢数量最多的中国安全团队；而自2009年以来，360已累计86次获微软安全公告致谢，在全球安全软件厂商中排名首位。

声明：东方联盟网站刊登/转载此文出于传递更多信息之目的，并不意味着赞同其观点或论证其描述。