360工程师发现Android漏洞链 获谷歌72万元奖金

去年八月，奇虎360工程师Guang Gong向Google提交了CVE-2017-5116漏洞和CVE-2017-14904漏洞，前者允许通过精心制作的HTML在沙盒中执行任意远程代码；后者则允许从沙盒中逃脱

【PChome平板电脑频道资讯报道】为了提升操作系统的安全性，微软、谷歌等公司都会对那些发现并提交安全漏洞的工程师、安全专家等提供安全奖励。而近日，来自奇虎360的一名工程师因发现漏洞链获得了谷歌11.25万美元的奖金，约合人民币72万元。

据悉，Google ASR（Android Security Rewards）项目于2015年启动，主要对那些向公司提交Android安全漏洞的安全专家提供奖励。该项目要求专家在运行最新Android版的Pixel手机和平板上进行测试，然后根据漏洞的危险程度来提供不同的奖金。

去年八月，奇虎360工程师Guang Gong向Google提交了CVE-2017-5116漏洞和CVE-2017-14904漏洞，前者允许通过精心制作的HTML在沙盒中执行任意远程代码；后者则允许从沙盒中逃脱。如果将这两个漏洞组合使用，能够允许在Pixel的system_server进程中远程注入任意代码。Guang Gong凭借这一发现获得了ASR项目10.5万美元的奖金，以及Chrome Rewards项目7500美元的奖金，共计11.25万美元。

谷歌方面表示，“每个Android版本包含更多的安全保护，但是已经有两年没有专家获得漏洞链这个顶级大奖了。”

点评：在Android设备遍布全球的情况下，漏洞链如果被黑客利用，将造成难以估量的损失。Google ASR项目很好地调动了安全专家和白客的积极性，在为他们提供高额奖励的同时，也进一步提升了Android系统的安全性。而Guang Gong的获奖，也从侧面反映了奇虎360等国内IT公司的强大实力。

来源 网络