发现高通驱动严重漏洞 360手机卫士团队获谷歌公开致谢

简介:

日前,谷歌发布了7月安全公告,批量修复了Android平台的多个安全漏洞。其中360手机卫士阿尔法团队的安全研究员龚广、陈豪提交的1个严重漏洞、1个高危漏洞和1个中危漏洞已被修复,并获得谷歌的公开致谢。据了解,此次是360手机卫士团队累计第10次获得谷歌的公开致谢。截至目前,360手机卫士团队共帮助谷歌发现了24个漏洞。

图1:谷歌7月安全公告批量修复漏洞 致谢360手机卫士团队

值得一提的是,在谷歌的不断鼓励以及360手机卫士安全研究员的不断努力和引领下,如今国内各安全厂商紧随360手机卫士团队步伐,开始更多地致力于漏洞挖掘与研究技术,让用户手机使用更安全。

高通驱动存严重漏洞 恶意程序可直接获取手机Root权限

近期,智能手机WiFi驱动漏洞则成为安全研究员的关注焦点。此次360手机卫士安全研究员龚广和陈豪就发现了高通WiFi驱动中的权限提升漏洞,若恶意应用利用此漏洞则可获取用户手机的root权限,该漏洞被谷歌认定为高危级别。此外,本次谷歌同时修复了龚广发现的Android媒体服务器组件中的信息泄露漏洞,该漏洞可影响Android4.4.4到6.0.1的版本,黑客利用此漏洞则可获取到用户系统的敏感数据。

值得注意的是,此次谷歌批量修复的漏洞中,360手机卫士阿尔法团队发现的编号为CVE-2016-3768的高通性能组件提权漏洞被谷歌方面认定为严重级别,恶意程序可以利用该漏洞在不需要任何特殊权限的情况下获取用户手机系统的root权限。

陈豪介绍,“由于高通驱动代码在实现上的逻辑错误,造成内核中的某个对象结构在释放之后可被再次调用,最终导致该漏洞的产生。”黑客若利用该漏洞可在用户手机内核空间执行任意代码,因Android系统的selinux策略并没有对相关的系统调用做任何权限限制,在利用该漏洞时则不需要任何权限。

360手机卫士阿尔法团队屡获佳绩 让手机更安全

近年来,谷歌通过与安全厂商互联的方式最大限度利用外脑发掘系统漏洞,通过与安全厂商的共同努力解决开放平台的安全问题。截至目前,360手机卫士团队已是第10次受到谷歌公开致谢。

本次获谷歌公开致谢的陈豪、龚广均为360手机卫士阿尔法团队成员。据悉,该团队正是于2015年在Pwn2Own Mobile上大展拳脚、成为首个在世界黑客大赛上攻破Android手机的中国团队;2016年Pwn0rama亚太手机安全破解挑战赛中,该团队更是接连攻破了谷歌Nexus 6P、三星Galaxy Note 5、LG G4三款热门手机,成为该赛事中唯一攻破三款手机的参赛团队;在Pwn2Own 2016上阿尔法团队携手伏尔甘团队成功攻破Chrome浏览器。

图2:360手机卫士阿尔法团队成员龚广出席MoSec峰会分享研究成果

据悉,360手机卫士阿尔法团队主要为360手机卫士提供安全研究支持和成果转化,致力于Android系统漏洞以及移动浏览器漏洞的挖掘与利用。阿尔法团队近两年来因发现20多个漏洞而多次获得谷歌致谢。阿尔法团队的安全研究员也曾多次受邀,在BlackHat, CanSecWest, SysCan360, PHDays, PacSec, MoSec等国际安全会议上分享研究成果。

====================================分割线================================

本文转自d1net(转载)

目录
相关文章
|
5月前
|
Web App开发
软件开发常见流程之移动端调试方法,利用Chrome(谷歌浏览器)的模拟手机调试,搭建本地Web服务器,手机和服务器在一个局域网,通过手机访问服务器,使用服务器,利用ip实现域名访问
软件开发常见流程之移动端调试方法,利用Chrome(谷歌浏览器)的模拟手机调试,搭建本地Web服务器,手机和服务器在一个局域网,通过手机访问服务器,使用服务器,利用ip实现域名访问
|
5月前
|
Linux 网络安全 数据安全/隐私保护
网络安全教程-------渗透工具Kali,官网链接,ARM的介绍,Mobil,华为小米,oppe手机,是无法刷入第三方的操作系统的,E+手机,谷歌的picksoul,或者三星手机,系统盘是WSL的
网络安全教程-------渗透工具Kali,官网链接,ARM的介绍,Mobil,华为小米,oppe手机,是无法刷入第三方的操作系统的,E+手机,谷歌的picksoul,或者三星手机,系统盘是WSL的
|
7月前
|
Web App开发 Linux Android开发
Chrome谷歌浏览器的WeChat微信模拟器,既可以设置模拟很多型号的手机设备Mozilla
Chrome谷歌浏览器的WeChat微信模拟器,既可以设置模拟很多型号的手机设备Mozilla
|
7月前
|
机器学习/深度学习 自然语言处理 搜索推荐
手机上0.2秒出图、当前速度之最,谷歌打造超快扩散模型MobileDiffusion
【2月更文挑战第17天】手机上0.2秒出图、当前速度之最,谷歌打造超快扩散模型MobileDiffusion
96 2
手机上0.2秒出图、当前速度之最,谷歌打造超快扩散模型MobileDiffusion
|
机器学习/深度学习 算法 API
如何使用谷歌Mobile Vision API 开发手机应用
一年一度的谷歌开发者大会 Google I/O 昨日在山景城开幕,在首日的 Keynote 中,谷歌宣布了一系列新的硬件、应用、基础研究等。而在下午面向开发者的 session 中,也有很多有关机器学习的内容值得我们学习。所以这届 Google I/O 并非略显乏味,反而充实了更多机器学习内容。在这篇文章中,机器之心根据视频为大家介绍了一个面向初学者的教程:如何使用谷歌 Mobile Vision API 在手机上开发应用。
567 0
如何使用谷歌Mobile Vision API 开发手机应用
|
机器学习/深度学习 人工智能 编解码
谷歌下场优化扩散模型,三星手机运行Stable Diffusion,12秒内出图
谷歌下场优化扩散模型,三星手机运行Stable Diffusion,12秒内出图
213 0
|
安全 Java 5G
iPhone SE 或 3 月发布:苹果最便宜 5G 手机;许多攻击者开始利用 Log4j 漏洞 | 思否周刊
iPhone SE 或 3 月发布:苹果最便宜 5G 手机;许多攻击者开始利用 Log4j 漏洞 | 思否周刊
180 0
|
机器学习/深度学习 传感器 人工智能
除了手机处理器,原来高通还为机器人黑科技操碎了心
伙伴们都知道高通处理器在手机应用上有多么牛逼,像其今年最新的处理器骁龙 835 只要有稍微不顺,就可以直接影响到三星 S8、小米 6 等旗舰机的上市时间,可见其有着举足轻重的地位。
242 0
除了手机处理器,原来高通还为机器人黑科技操碎了心
|
vr&ar 开发工具 图形学
谷歌发布 VR SDK,首批“白日梦”手机将在冬季前面世
谷歌 Daydream 平台可能是拯救手机 VR 盒子体验不佳的良药,不过,自从其在今年 5 月份的 Google I/O 大会上被发布后,至今普通消费者都未能真正体验到这款产品。
183 0
谷歌发布 VR SDK,首批“白日梦”手机将在冬季前面世
|
SQL 安全 算法
手机IOS-APP渗透测试漏洞防护方案
目前在国内很多项目都有手机端APP以及IOS端,但对于安全性问题无法确保,常常出现数据被篡改,以及会员金额被篡改,或是被入侵和攻击等问题,接下来由Sinesafe渗透测试工程师带大家更深入的了解如何做APP的安全防护以及漏洞检测原理机制。
370 0
手机IOS-APP渗透测试漏洞防护方案