最近,苹果公司在官网上发布了对国内最大互联网安全公司360的漏洞致谢,并针对360报告的系列漏洞发布补丁,建议iOS和Mac用户尽快升级修复。360安全团队也因此获得有史以来苹果产品最高的漏洞奖金20万美元。
据悉,此次由360报告、苹果公司修复的六个漏洞,覆盖领域包括远程越狱、任意代码执行、沙箱逃逸、读取限制内存等。其中五个漏洞,是在2018年11月举行的首届“天府杯”国际网络安全大赛上,由360伏尔甘团队与涅槃团队攻破。
值得一提的是,在“天府杯”大赛上,360伏尔甘团队仅仅使用两个漏洞就实现了苹果手机远程越狱,这也是在PWN类型比赛中首次利用漏洞实现苹果手机远程越狱。要知道,苹果iOS是封闭式操作系统的代表,所以我们一般接触到的只能是权限内的操作,如果想要更大范围的操作空间就必须取得系统权限;而能实现越狱,是比系统权限更高级的权限。所以,一旦有漏洞可以实现远程越狱,就说明苹果这座封闭的堡垒也有致命裂痕。据悉ios远程越狱的黑市价格高达200万美元!
凭借在大赛上的这番“魔鬼操作”,360伏尔甘团队一举夺得大赛单项最高奖励20万美金,这也是有史以来针对苹果产品的最高漏洞奖金。
说起漏洞,2018年360在漏洞挖掘方面连续获得了谷歌、微软给出的“史上最高奖金”,可以说是国际知名的“漏洞挖掘机”:2018年初,谷歌发表的漏洞奖励计划总结报告中显示,360阿尔法团队龚广报告的“穿云箭”组合漏洞,拿到了自2015年谷歌设立安卓漏洞奖励计划(ASR)三年来给出的史上最高奖励——11.25万美元,该漏洞在当时吸引了整个安全行业的关注。
2018年底,360冰刃实验室发现了一个微软Hyper-V漏洞,由于该漏洞危险级别高,影响范围广,微软在确认漏洞细节后便第一时间公开致谢,并送出了微软史上最高的一笔漏洞挖掘奖金——总额高达20万美元(约合人民币137万),被业内称为微软送给中国白帽黑客的“年终奖”。
2018年全年,360共发现了包括苹果、谷歌、微软、华为、高通、VMWare等在内的全球主流厂商漏洞高达489个(也就是说平均每天都会挖掘1.3个漏洞),成为全球获得致谢次数最多的安全厂商,刷新世界纪录,向世界展现了来自中国的安全力量。
不仅获得各大厂商的多次致谢,还包揽了微软、谷歌、苹果三巨头的最高漏洞奖励记录,如此看来,360不仅仅是国内最大的互联网安全公司,在全球范围内,其安全实力也是有目共睹。
大安全时代,“漏洞”关乎着企业自身的安全、品牌的声誉以及千千万万用户的切身利益,一旦漏洞被不法分子抢先发现并利用,其后果不堪设想。360安全团队,凭借着其过硬的实力,全年无休地守护着网络安全,与恶势力赛跑,帮助各大企业厂商不断完善系统安全,努力为广大用户提供一个安全的网络环境。
来源:安全牛