1月22日,“穿云箭”组合漏洞媒体沟通会于360大厦召开。据悉,该组合漏洞被黑客利用便可彻底远程攻破谷歌Pixel手机,波及整个安卓市场。考虑到保护用户手机安全,360 Alpha团队于去年8月将该组合漏洞报告给谷歌,已成功帮助其修复Android 系统和Chrome浏览器。同时,为了保证国内手机厂商未来也能够及时修复相关漏洞,360携手移动安全联盟推出了“先行者”计划。
去年年底,在工业和信息化部网络安全管理局指导下,由中国信息通信研究院牵头,360、盘古等安全企业共同发起,移动安全联盟在京成立。360作为MSA首批四大副理事长单位之一,于1月19日参与了2018年第一次全体会员大会暨工作组会议,并在联盟的政策标准工作、技术与产业工作、运营等工作中,主动承担起安全厂商应负的责任。同时,在第一次全体大会期间,360向联盟汇报了“穿云箭”组合漏洞,并得到了联盟的高度重视,后续便推出了此次 “先行者”计划。
移动安全联盟高速发展 与厂商建立共同防御阵线
现阶段,我国移动安全形势复杂多变,用户隐私窃取、个人信息贩卖的操控者游走在法律边缘,催生了各种黑色产业链,致使移动安全生态的隐患问题愈发严峻。广大手机用户置身于这样的环境中,安全感缺乏也不足为奇。
移动安全联盟的成立,正是为手机厂商、安全厂商、应用厂商等多方机构,提供了一个交流、共享平台。基于此,移动安全全产业链上下游便可直接打通,厂商间沟通的时间成本随之降低,更利于应急响应机制的快递建立和启动,用户手机安全也将获得有效保障。
今年年初,移动安全联盟第一次会员大会在武汉成功召开。会上,全体与会会员讨论并一致通过了《移动安全联盟2018年工作规划》、《移动安全联盟团体标准管理办法》等文件,进一步规范了联盟在工作组、标准、研究课题上的管理办法,使联盟在未来能够更加高效、规范地开展工作。同时,随着联盟工作的逐步展开与迅速发展,目前,联盟已接收了10余家单位向联盟提出的加入申请,现有会员单位约40余家。
图一:移动安全联盟2018年第一次会员大会
“先行者计划”领先一步 缩短用户隐患时间
360作为安全行业的领军者,凭借其优质产品、大数据等优势,以及共建移动安全生态的主张,获得联盟会员一致认可,成为联盟的首批副理事长单位之一。此外,在移动安全联盟召开的第一次会员大会上,360还参与讨论了联盟2018年的工作规划以及工作分工。在联盟的政策标准定制、技术与产业研究和运营等工作中,360均有责任担当。
此次大会上,为响应联盟漏洞管理工作,并建立移动安全漏洞应急响应机制,360向联盟汇报了“穿云箭”组合漏洞相关信息,帮助联盟内各厂商先于黑客一步,尽早修补该漏洞。这一举动也获得了各大厂商和泰尔终端实验室的高度评价。
据360安全专家介绍,以漏洞修补流程为例,一般来讲类似于白帽子团队发现漏洞之后提交给谷歌,谷歌修复下发补丁至各个手机厂商,这个周期是较长的,通常以数月计算。用户的手机在这一阶段则是处于安全空白期的,很难保证不法分子不会利用现存的漏洞窃取用户隐私,或是盗取用户账户财产。
此次“先行者”计划的提出,正好弥补了用户手机的安全空白期。当360等安全厂商发现手机漏洞后,便会在联盟内部进行共享,各大手机厂商除了干等补丁下发外,还可根据自身需求推出相应解决措施。另外,联盟内的安全厂商也会为成员提供热补丁方案,降低漏洞利用成功率,进一步为用户手机安全提供保障。
图二:移动安全联盟翟世俊博士就“先行者”计划发表演讲
先行者计划的推出,相信未来不仅能为更多的厂商提供一个漏洞修复以及应急响应机制,而且如360之类的安全厂商还可提前与厂商共享漏洞的信息,预先防御,及时修复漏洞,使移动安全防线获得提前防护,为用户营造一个良好的移动安全生态环境。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
