（Android security bulletin官方致謝360）

「水滴」漏洞的公布，就如同一顆落在廣大安卓用戶掌心上的「定時炸彈」被曝光，而最初它是如何被發現和公開利用的呢？早在2018年8月，360安全大腦在對Android內核代碼進行安全審計時，就監測到了這枚「水滴」漏洞的存在，並確定其攻擊能力和威脅範圍「通殺」國內外絕大多數Android機型。

水滴「核」穿，無堅不摧。果然在2018年11月，360安全團隊又測試證實了「水滴」的真實威力，並完美實現了對Google 旗下Pixel系列所有機型的ROOT攻擊，這其中包括由Google公司親自操刀打造的Pixel 3XL手機。要知道，在安全圈內，Google的Pixel 3XL是目前公認的最難攻破的手機，它擁有著安卓內核最高的安全防禦水平，而它的陷落意味著安卓內核這座堅固的「堡壘」將如「紙片」般脆弱。

值得一提的是，儘管Google官方每年公開的內核漏洞數量多達數百個，但真正能夠成功提權的寥寥無幾。再隨著系統防護的不斷完善，此前一些可以用來ROOT的漏洞在現有的防護機制下也變得無能為力，而360團隊此次發現的具備了任意地址讀寫、信息泄露能力，同時還可能用於沙箱逃逸的漏洞相當罕見。

利用「水滴」漏洞成功提權後可以獲得系統的最高許可權，同時該漏洞可能被用於遠程攻擊鏈，若是被黑產從業者利用可能對Android用戶的個人隱私安全、財產安全甚至人身安全造成嚴重的危害，因此360安全專家建議各家Android廠商需儘快修復該問題，避免用戶暴露在安全風險之中。

挖掘「水滴」的幕後功臣——360 C0RE Team

作為此次漏洞挖掘的幕後功臣，360 C0RE Team安全團隊受到了極大的關注。而這並不是360 C0RE Team首次亮相漏洞挖掘的第一線。這個專註於Android內核及Framework安全攻防技術的安全團隊，此前已經多次全球首家做出通殺型ROOT方案，除了曾為360超級ROOT提供上百款主流機型的ROOT方案外，還向Google、Qualcomm、華為等廠商報告了多項安全漏洞，累計獲得上百次致謝。而這次成為全球首個公開攻破 Google Pixel 3XL的安全團隊，也為360 C0RE Team的戰功簿，再添了濃墨重彩的一筆。

未知攻，焉知防。360 C0RE Team在漏洞挖掘上取得的驕人成績，源自其對最新攻擊技術的不斷研究，因為只有持續知道最新的攻擊方法，才能實現持續有效的防護。這種不懈的努力，也讓360 C0RE Team團隊為合作夥伴提供了最專業的ROOT防護服務。

屢添戰功簿，360成谷歌致謝榜「常客」

提到漏洞的挖掘，包括360 C0RE Team在內的360安全團隊已成為谷歌致謝榜的「常客」。就在2018年初，谷歌官方發文致謝360 Alpha團隊向其提交了關於攻破Pixel手機的「穿雲箭」組合漏洞報告，並向360 Alpha團隊負責人龔廣頒發了總額為112500美金的獎勵，這是自2015年谷歌設立安卓漏洞獎勵計劃（ASR）以來給出的最高獎勵，該漏洞在當時吸引了整個安全行業的關注。

不僅獲得谷歌的多次致謝，同時谷歌2015年公布致謝公告至今，360為提升谷歌產品的安全性做出了突出貢獻，連續三年蟬聯移動領域漏洞挖掘冠軍。迄今為止，360累計報告530個安卓系統和Chrome瀏覽器安全漏洞，是全球首個獲Google致謝突破500次的安全廠商。

眾所周知，在大安全時代，「漏洞」關乎著企業自身的安全、品牌的聲譽以及千千萬萬用戶的切身利益，一旦漏洞被不法分子搶先發現並利用，其後果不堪設想。而360安全團隊，憑藉著其過硬的實力，全年無休地守護著網路安全，與惡勢力賽跑，幫助各大企業廠商不斷完善系統安全，努力為廣大用戶提供一個安全的網路環境。