【天极网手机频道】不久之前,iOS12正式版刚推送没多少小时,阿里安全潘多拉实验室就发现了iOS12的漏洞并将其完美越狱。而现在阿里安全潘多拉实验室又在最新的Android 9 Pie系统发现了一个严重漏洞。据了解,9月20日,阿里安全潘多拉实验室再次曝出其Linux系统存在严重漏洞——WrongZone (异域),该漏洞为内核漏洞,让若被不法分子掌握,可直接对Root授权,获得最高权限从而控制手机。
Android
众所周知,一旦我们的手机最高权限被不法分子攻破,那就意味着手机里的个人信息将被别人盗取,包括手机里的所有账户密码及其他重要私人信息,后果十分严重,可能造成难以估量的损失。阿里安全潘多拉实验室安全研究人员表示:“市面上90%的安卓手机都存在这一隐患,我们已完整实现了多款主流旗舰机的Root。”
对于WrongZone漏洞,阿里安全潘多拉实验室安全研究人员表示这是近些年少有的能够直接获取手机最高权限的漏洞。
“阿里安全潘多拉实验室自成立以来就聚焦于移动安全领域,包括对iOS和Android系统安全的攻击与防御技术研究。”阿里安全潘多拉实验室负责人表示,由于这次的WrongZone漏洞危害较大,已将该漏洞问题上报给谷歌及Linux内核社区,并将同步发给部分国内手机厂商进行修复。
Android 9 preview的提权演示图
事实上,Android操作系统发展了这么多年,安全系数已经十分之高。谷歌曾在Android9中,为部分守护进程和内核引入了控制流完整性CFI(Control Flow Integrity)防护机制,能够直接对抗常用ROP/JOP/COOP代码重用利用技巧。不过没有一个系统是完美,不存在任何问题的。这一点在iOS系统上也得到了验证,iOS12正式版推出几个小时候,就被阿里安全潘多拉实验室发现其漏洞,并实现完美越狱,不过该实验室表示不会对外发布越狱程序,官方称,此举仅为做安全研究,以便更好地促进整个系统安全生态发展。
据悉,阿里安全潘多拉实验室在最近两年已经共计上报了上百个涵盖iOS与Android系统的安全漏洞,获得过Apple、Google和华为等厂商公开致谢。
值得一提的是,谷歌曾在2015年启动了一项名为“安卓安全奖励计划”的悬赏计划,只要发现并提交安卓系统BUG的人都可以获得谷歌公司提供的奖金。据悉,这项计划最高奖励达到20万美元。不过据外媒消息,20万美元的奖励至今无人获得。不知道这次阿里安全潘多拉实验室能否获得这20万美金。
谷歌
不过这项计划在过去一年已经吸引了99位“BUG猎人”提交了470份漏洞报告,谷歌已经为此支出超过300万美元的奖励。值得一提的是,今年最高的一笔奖励由来自中国奇虎360 AIpha团队的安全研究员 Guang Gong获得。他发现了针对Pixel设备的两个漏洞 CVE-2017-5116和CVE-2017-14904,获得了10.5万美元的奖励。