360研究员发现谷歌 Pixel 手机远程利用链 获逾10万美元奖励
翻译:360代码卫士团队
奇虎360研究团队因发现远程入侵谷歌 Pixel 手机的安卓利用链而赢得超过10万美元的奖励。只需诱骗目标用户访问一个恶意网站即可攻破 Pixel 手机。
谷歌 Pixel 手机是唯一一部在去年移动 Pwn2Own 竞赛中未被成功入侵的手机。然而,来自奇虎360的龚广及其团队确实找到一些可用于攻击 Pixel 和其它安卓智能手机的远程代码注入利用。
这个利用依赖于两个漏洞:CVE-2017-5116 和 CVE-2017-14904。第一个漏洞是类型混淆缺陷,存在于 V8 开源 JavaScript 引擎中,可用于在Chrome 沙箱渲染进程中执行远程代码。谷歌在去年9月份发布 Chrome 61 时修复了这个漏洞。
第二个漏洞影响的是安卓的 libgralloc 模块,它可用于逃逸 Chrome 沙箱。这个权限升级缺陷已于去年12月份通过每个月的安卓更新项目修复。
结合使用这两个漏洞能让攻击者通过让用户访问 Chrome 中的一个恶意 URL 将任意代码注入到 system_server 进程中。
龚广及其团队因发现这个利用链而获得安卓安全奖励 (ASR) 计划颁发的10.5万美元,以及通过 Chrome 漏洞奖励计划获得另外7500美元。这是ASR 计划颁发的最高奖励,是 ASR 计划在去年夏天扩展后奖励的首个远程利用链漏洞。
谷歌当时宣布称,如果发现远程利用链或发现导致 TrustZone 或 Verified Boot 攻陷的利用,获得的奖励将提高至20万美元,而对远程内核利用的奖励金增加到15万美元。
龚广已在谷歌安全和安卓开发者博客上发布了一篇客座文章,详细介绍了这两个漏洞的详情以及利用链的运作方式。
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
http://www.securityweek.com/researchers-earn-100000-hacking-pixel-phone