谷歌发布年度安全报告 360手机卫士发掘漏洞榜上有名

近日，谷歌发布了《2015 Android年度安全报告》，报告显示在2015年中谷歌每天要检查逾60亿个已安装应用程序、扫描4亿台设备。目前谷歌已通过漏洞寻找计划，依托更多的安全研究人员来应对潜在威胁。此次报告中，谷歌在漏洞一节中提到了由360手机卫士安全研究员龚广在2015年PacSec大会，黑客比赛中攻破谷歌Nexus 6手机所利用的Android Chrome漏洞。据悉，谷歌在Android年度安全报告中选取的安全漏洞均为危害严重的重大漏洞。

图1：谷歌年度报告披露360手机卫士安全团队发现漏洞情况

在去年的PacSec的移动安全挑战中，来自360手机卫士团队的安全研究员龚广一举攻破了当时Android最新系统Nexus 6手机，并成为赛场唯一一位成功攻破Nexus 6手机的白帽黑客。虽然赛制规定时间为半小时，360手机卫士安全研究员龚广仅用不到两分钟。

由于如今系统及设备中存在着沙箱及隔离机制，所以大部分人必须使用多个漏洞配合来进行越权攻击以及交互安装软件。但是，龚广却演示了如何利用一个漏洞攻破Nexus 6手机。面对一部 Nexus 6 手机，龚广轻轻点击了一个网址，随即一片沉静，似乎什么都没发生。然而短短片刻，桌面上突然出现了一个新的图标。原来系统已经自动从 Google Play 市场下载并且安装了一个被他指定的App。

此后，360手机卫士团队也向谷歌方面公布了漏洞详情，解析如何利用漏洞再分钟内成功破解Nexus 6手机。谷歌发布的年度报告提到，利用该漏洞，黑客不仅可以攻破Chrome沙盒，同时可以通过漏洞来获取远程任意代码，执行相关权限，危险等级为“高危”级别。

在今年4月谷歌最新修复的39个系统漏洞中，编号CVE-2016-2412和CVE-2016-2416两个漏洞均由360手机卫士团队发现并提交给谷歌，两个漏洞均被认定为“高危”级别，360手机卫士团队也因此受到谷歌第7次公开致谢。

360手机卫士安全专家介绍，一个手机系统的漏洞对于整个手机安全来说可能是致命的。如果系统漏洞被利用，一方面，它使用户更容易中毒，通过利用系统漏洞，恶意程序进入手机更容易，甚至无需手机用户操作。另一方面，它可以使病毒的攻击能力变强，一般不利用漏洞的恶意程序能力很有限、容易被安全软件发现，利用系统漏洞则能实现一些普通恶意程序不能实现的功能，隐蔽性也更强。

报告中显示，2015年，在谷歌应用商店Google Play下载和安装应用程序的Android设备中，恶意应用程序的比例不到0.15%。据了解，目前大多数的Android设备都装有Google Play应用商店，但在一些设备(如Kindle)和市场上，Google Play并不是默认的应用商店，且没有预装。因此，在这些设备和市场上，存在着一定的“潜在有害应用程序”(PHA)。

360手机安全专家建议，手机用户下载手机软件需到安全的第三方手机应用市场和官方网站；及时更新手机系统、更新安卓补丁；勿随意开放手机root权限；同时可使用360手机卫士等安全软件，定期查杀手机病毒、检测手机软件安全性，避免恶意程序入侵手机。