近日,一年一度的“全球白帽黑客奥斯卡”The Pwnie Awards大奖在万众瞩目中揭晓。360 Alpha Lab龚广荣膺最具含金量“史诗级成就”大奖,这是既去年360打破连续12年无中国人得奖记录后的又一创举,成为中国历史上首个The Pwnie Awards“史诗级成就”得主,也是中国安全研究员14年来首次摘得此奖桂冠!
突破重围摘“史诗级成就”桂冠
360 Alpha Lab绽放“黑客奥斯卡”
始创于2007年的The Pwnie Awards被誉为“全球白帽黑客奥斯卡”,是为在安全领域有重大和突出研究成果的信息安全工作者设立的奖项。对于全球范围内的信息安全工作者来说,仅获得提名就意味着其研究成果已经具有世界范围的影响力,摘冠折桂则是技术实力的绝对象征,被视为安全领域的至高荣耀。
在Pwnie所有奖项中,“史诗级成就”无疑是最重要的奖项之一。正如奖项评判标准所说,这一奖项将赋予那些利用令世人意想不到的、精妙绝伦的技巧成功挖掘重大漏洞的人。今年的Pwnie“史诗级成就”奖面向2019年6月1日至2020年5月31期间被发现的重大漏洞,全球共有10个优秀项目入围,每个提名项目都是在全球安全领域占有一席之地且产生深远影响的重要突破,无论从竞争者数量还是项目价值上,其获奖难度不言而喻。可以说,经由全球广受尊敬的安全研究人员组成的评审团评判,最终选出的冠军获得者绝对称得上“尖子生”中的佼佼者。
此次360 Alpha Lab龚广从全球众多优秀提名中“杀出重围”,是全场唯一的一个中国人获奖,不仅代表着评审团对360漏洞研究成果的高度认可,还意味着中国网络安全产业树立了新的标志性里程碑,同时再度坚定了中国安全从业者的底气与魄力。
360攻破史上最强“劲敌”
东方“梯云纵”漏洞链价值一骑绝尘
根据漏洞交易平台Zerodium价格表显示, 对Android 零点击(0-Click)漏洞利用链的支付价格高达250万美元。所谓物以稀为贵,如此高昂的漏洞收购价格证明Android具备极高的安全级别,对漏洞质量的要求相对更高,同时意味着Android漏洞的挖掘更加耗时和困难。
而在安卓手机中,谷歌的Pixel手机素来以固若金汤闻名,它通常有最新的操作系统版本,与其他Android手机相比,它拥有更全的安全补丁和更强的漏洞缓解措施,这使得它更难以受到攻击。即使在移动安全领域的最高赛事Pwn2Own上,也一度是唯一未被攻破的移动设备。然而,没有一个设备是100%无懈可击的。
去年8月,360 Alpha Lab龚广在谷歌Pixel手机里发现了一组高危的全链远程代码执行漏洞。通过此漏洞链可以毫不费力地“向上”移动,继而一键远程获取手机最高控制权限,仿佛将云当作楼梯,因此被赋予了一个极富东方色彩的名字——“梯云纵”。“梯云纵”漏洞链几乎影响所有Android系统和Chrome浏览器,如被不法分子利用,其波及范围将极为广泛,将对用户造成严重危害。
目前,360 Alpha Lab已协助谷歌修复了这一漏洞链,并斩获了Google史上最高奖金201,337美元。值得一提的是,Google从2010年开始启动漏洞悬赏项目,已累计得到超过8500份有价值的报告,送出的奖金总共超过500万美元。而在谷歌推出悬赏计划至今,最大的受益者并不是美国安全公司,而是来自中国的360团队。
早在2017年,360 Alpha Lab团队龚广就曾凭“穿云箭”组合漏洞拿到了谷歌安卓漏洞奖励11.25万美元。今年,360 Alpha Lab团队龚广再登谷歌致谢榜首,凭借“梯云纵”漏洞链拿下Google史上最高奖金,无疑彰显了360在漏洞挖掘方面的全球领跑地位。而此次拿下Pwnie“史诗级成就”大奖,也再度证明了“梯云纵”漏洞链对用户信息安全和漏洞挖掘与利用研究两大领域的重要意义,在国际舞台上进一步展示了以360为代表的中国安全力量。
作为360 Alpha Lab负责人,龚广已带领团队发现超400个谷歌、高通等国内外厂商的漏洞并获得公开致谢;先后10次赢得Pwn2Own、天府杯等世界黑客大赛单项冠军;并多次受邀在BlackHat, USENIX,Defcon, CanSecWest, HITB, CodeBlue,PacSec,HITCON等国内外知名安全会议上发表议题演讲,其研究成果在全球范围内产生着深远影响。
亚洲安全力量崛起
360顶级安全团队强势领跑全球
作为国内网络安全领域的领军企业,360拥有着国际顶级一流的安全专家队伍。近年来,360安全团队已经占据国际榜单排名的前列位置,不仅在微软MSRC最具价值安全精英榜中数次封神问鼎。在0day漏洞挖掘方面,360安全专家团队已在世界范围内挖掘主流厂商CVE漏洞2000余个,并包揽苹果、谷歌、微软等巨头厂商的漏洞致谢,成就史上最强“漏洞挖掘大满贯”。
值得一提的是,在刚落幕的“天府杯”上,360政企安全漏洞研究院实现了Google Chrome、Mozilla Firefox、iPhone 11pro等多个“全球首破”。这是360安全团队继2018、2019两年蝉联“天府杯”冠军后,再度问鼎天府杯冠军之席,毫无疑问地证明了360强势领跑全球的漏洞研究及挖掘能力。
随着全球数字化转型加速,网络安全势必会面临更加严峻的威胁,无论是规模、手段还是所造成的破坏都将上升到全新的高度。而漏洞是网络安全最重要的命门,也是最重要的战略资源。当整个世界架构在软件之上,漏洞一旦被利用后果将不堪设想,甚至可能关乎国家安危,漏洞研究与挖掘能力无疑成为了守护网络安全“国门”的关键武器。
今天,360安全团队让全球网络安全从业者看到了中国乃至亚洲安全力量的强势崛起,为中国网络安全企业赢得了世界的瞩目。未来,360将载誉前行,持续加大在漏洞领域的投入,始终捍卫领跑全球的“挖洞”实力,在数字大安全时代为我国网络安全提供堡垒式的坚实守护!