2018年1月22日，360组织了一次媒体见面会，主题为Google Pixel重大漏洞。

前不久，360Alpha团队在Google Pixel上发现了重大安全漏洞，可通过诱导用户点击特定链接，远程读取手机中的信息，或者直接获得手机控制权限。龚广团队将这些漏洞命名为“穿云箭”，暗示漏洞的危害程度。另外，“穿云箭”漏洞属于系统级的漏洞，所以影响的不仅仅是Google Pixel这一款手机，大部分的安卓手机均受影响，包括国内众多手机品牌。

漏洞危害

会上，360助理总裁兼首席安全工程师郑文彬详细讲解了“穿云箭”组合漏洞，据其现场播放的演示录像中我们可以看到，在手机访问特定网页后，攻击者就可以直接获取该用户手机中的短信、通讯录、手机中的照片等个人信息，并且可以直接开启“后门”读取手机本地的文件目录以便实时进行监控。

受影响的表面上是Google Pixel手机，其实是整个安卓系统和Chrome浏览器。

Q & A

在主题分享环节之后，现场观众再次向龚广和郑文彬寻求了更为详细的解答。

Q：我想问一下龚广老师，你们也参加了Mobile Pwn2Own 2017，我想问一下这个漏洞为什么没有作为Mobile Pwn2Own 2017的利器用，这个是不是跟你们后面专门想做移动安全这件事情有一些储备和关系？

龚广：我们主要还是出于用户安全的考虑，因为如果我们选择参与Mobile Pwn2Own，漏洞修复时间会推迟两个月或者三个月。我们漏洞发现第一时间提交谷歌，谷歌就能第一时间把这个漏洞修复了，能最大的保护用户的安全，出于这个考虑。

郑文彬：我们8月份提交漏洞，12月份才修复这个漏洞，中间是有很长的周期的。如果我们晚提交，过完年才能修复。我们还是希望发现问题首先同步给厂商，我们后面不光先同步给谷歌，也同步给联盟合作厂商。大家都知道修复漏洞有一个很长的周期，我们尽快提前，可能多一秒的时间，比黑产或者这些攻击者更早地发现修复漏洞更好。

龚广最后再次从技术的角度重申了一下漏洞的危害，这个漏洞的危害可以从三个方面来讲：

第一个是演示视频上放的，可以导致信息泄露，导致你的通讯录、短信这些东西被远程拿走，这是第一个方面。
第二个方面，可以在你手机里执行恶意代码，你的手机完全被控制，可以通过你手机在后台在你不知情的情况下发短信，可以打电话，可以录音录像，可以监控你的生活。
第三个层次，可以使你的财产遭受损失，前面有短信可以被窃取，网银或者一些其他的支付软件，很多密码都是通过短信验证码进行重置，可以使你财产受到损失。还有它是一个系统漏洞，系统被攻破了，运行在这个系统的APP也是不安全的，通过这个组合漏洞可以侵入到APP包括支付相关APP的内部，替换你APP或者改换你APP的流程，你的财产会受到损失，甚至可以替换你输入法的应用，你的一些输入的东西可以被记录。这是从技术层面上这个漏洞的危害。

嘶吼编辑解读：“穿云箭”组合漏洞就是一大祸害呀，能查看手机内羞羞的内容，能录像、能打电话，甚至还能更改APP，所以，嘶吼建议安卓用户和chrome浏览器用户尽快更新系统，以防祸及伤身。