今年第三次获谷歌致谢 360研究员龚广再次发现安…

　　图1：九月谷歌公开致谢360团队发现并提供漏洞

　　据悉，360此次发现的漏洞曾在2015年黑帽大会上公开利用方法。此外，9月份谷歌发布的安全报告中，另一个漏洞也是由360的安全研究员龚广向chrome team提供并提交给Android team，谷歌对提交发现此漏洞的团队还提供了3000美金奖励。

　　龚广介绍，他发现安卓libcutils库中存在一个整数溢出导致的堆破坏漏洞。利用这个漏洞，恶意应用能在其他应用的进程中执行任意代码，包括在高权限的系统应用system_server中执行任意代码。

　　360安全研究员龚广提到，利用这个漏洞，恶意应用可以获取手机上的隐私数据，如短信，通话记录，联系人，wifi密码等，恶意应用还可以对手机进行很多敏感操作，如打电话，发短信，监控摄像头，麦克风等。

　　据了解，此次并不是360首次发现安卓漏洞并获得谷歌官方公开致谢。早在今年3月、今年8月，360手机卫士安全研究员龚广就由于先后发现谷歌Android存在的8个漏洞而受到谷歌官方的致谢。

　　图2：八月谷歌公开致谢360团队发现并提供漏洞

　　由于安卓先天具备的开放性，在安全防护方面有些许不足。谷歌开始对安卓的安全越来越重视，今年6月针对安卓启动了一个名为Android security rewards的安全奖励项目，重金征集漏洞，360连续多次发现漏洞并提供给谷歌获得其致谢。

　　图3：三月谷歌公开致谢360团队发现并提供漏洞

　　360手机卫士数次首家查杀高危木马、封堵漏洞，并屡屡受到谷歌的公开致谢。此外，360因发现并协助修复漏洞还获得来了微软、苹果、Adobe等巨头的致谢。自2009年以来，360已累计86次获微软安全公开致谢，在全球安全软件厂商中排名首位。对于安全团队来说，及时对漏洞及安全威胁做出快速反应是其技术实力的直接体现，这也是安全厂商专业性的体现。