北京时间11月22日,谷歌发布最新安全公告,公开感谢Alpha Lab率先发现并提交入侵Pixel手机的“体云宗”漏洞链报告,并授予Alpha Lab负责人龚广奖美元漏洞赏金总额。
发现“天梯云宗”漏洞的幕后黑手功臣,是安全大脑中安全王牌云旗下的Alpha实验室。
他们获得的美元不仅成为谷歌漏洞奖励计划(VRP)历史上的最高奖励记录,也超过了任何制造商发布的单个漏洞的最高奖励。
独立发现“阶梯云宗”漏洞链,一键远程攻破Google Pixel 3。
谷歌一直非常重视安全性,其亲自设计的 Pixel 手机被公认为“最难破解”的手机。
即使是在全球顶级破解竞赛Mobile Pwn2Own中,Pixel手机也是唯一一款自2009年以来没有被破解过的手机。
而且Google Pixel不仅没有被破解,甚至没有人报名参加挑战,可见难度有多大就是要突破Pixel。
然而,今年 8 月,Alpha Lab 在 Pixel 手机中发现了一组持久性全链远程代码执行漏洞。
利用该漏洞链可以一键远程获取手机最高控制权限。
该漏洞链的独立发现者Alpha实验室将其命名为“Ladder Cloud Zong”漏洞。
而Alpha实验室在测试中证实,“阶梯云宗”漏洞链可以成功绕过谷歌的安全防护机制,成功攻入坚不可摧的Pixel 3手机。
Pixel 3的丢失也意味着“阶梯云”漏洞影响到几乎所有Android系统和Chrome浏览器。
一旦被利用,黑客可以随意获取用户的敏感信息,对用户的个人隐私和财产造成极大威胁。
作为国内最大的互联网安全公司,阿尔法实验室最先发现该漏洞链的存在,确认其具体危害及影响范围,并第一时间将该漏洞提交给谷歌官方,协助谷歌实施“天梯”。
云控制”修复了错误链问题。
不仅获得了谷歌历史上最高的奖金,还获得了“”的特殊漏洞奖励。
在这份 Google 致谢信中,Alpha Lab 从 Android 安全奖励计划 (ASR) 获得了 40,000 美元的奖励,从 Chrome 奖励计划获得了 40,000 美元的奖励。
奖励总额,美元。
美元漏洞赏金是所有 Google VRP 赏金计划中最高的。
要知道,自 2019 年谷歌 VRP 赏金计划推出以来,最高 bug 赏金就锁定在 , 美元,但从未有人收到过这一最高金额。
直到“天梯云宗”漏洞的发现,Alpha Lab才打破了无人登顶的历史,甚至创下了谷歌支付的最高奖励新纪录。
这里必须要提到的是,谷歌的基本赏金通常是美元,但对于特别严重的漏洞,谷歌巧妙地设立了Leet(或“Leet”)漏洞赏金计划,用特殊的美元奖励那些“特别严重或特殊的漏洞” 。
“智能”漏洞发现。
正是如此,“体云总”漏洞奖励不仅代表了谷歌有史以来给予的最高奖励,也是谷歌官方认可的“特别聪明”的漏洞奖励。
Alpha Lab“梅开二度”,继续在谷歌历史上最安全的大脑排行榜上占据主导地位。
Alpha Lab由Alpha Team和C0RE Team两个顶级团队组成。
“天梯云宗”漏洞的发现,正是两大安全团队碰撞的火花。
对于他们的成就,他们多次获得谷歌的公开致谢:2019年1月,Alpha Lab因发现“云箭”组合而获得Android安全奖励计划(ASR)历史上最大的奖金——10美元奖金脆弱性。
“一枪穿云”漏洞当时引起的轰动至今尚未平息。
今年3月,Alpha实验室发现了另一个可用于root当前国内外主流Android手机的“内核杀”漏洞——“水滴”漏洞(CVE-)。
谷歌发布了公开声明并授予了漏洞赏金14。
美元。
今年11月,一直奋战在挖洞第一线的Alpha Lab再次成功发现威力更大、影响更广、奖金更高的“体云宗”组合漏洞,再次刷新谷歌。
历史上最高的错误赏金记录。
可以说,阿尔法实验室不可动摇的挖掘能力,是整个安全团队挖掘实力的缩影。
对于安全团队来说,不仅连续获得了谷歌、微软、苹果三大巨头的最高漏洞奖励,还发现了苹果、谷歌、微软、华为、高通等全球主要厂商的100多个CVE漏洞、VMWare等(也就是说平均每天发现1.3个漏洞),成为全球最受感谢的安全厂商,创造了新的世界纪录,向世界展示了中国的安全力量。
众所周知,在大安全时代,“漏洞”关系到企业自身安全、品牌声誉、亿万用户切身利益。
一旦漏洞被不法分子发现并利用,后果将不堪设想。
安全团队以其过硬的实力,常年守护网络安全,与黑恶势力赛跑,帮助各大企业、厂商不断提升系统安全,努力为用户提供安全的网络环境。