2019年12月30日,國家信息安全漏洞共享平臺(CNVD)2019年工作會議在北京舉行,騰訊安全研究團隊Tencent Blade Team受邀參加,憑借此前發(fā)現(xiàn)的高通WLAN芯片遠程代碼執(zhí)行漏洞,被授予“最具價值漏洞”殊榮,在十個獲獎團隊中名列第一。此次得獎,也是對Tencent Blade Team全年不間斷輸出高質(zhì)量安全研究、積極推動行業(yè)建設(shè)的肯定?! ?/p>
CNVD是由國家互聯(lián)應(yīng)急中心聯(lián)合國內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運營商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的信息安全漏洞信息共享知識庫。據(jù)悉,僅在12月,團隊就報送了兩個影響范圍極大漏洞,分別對Chrom瀏覽器的Web藍牙模塊和知名開源數(shù)據(jù)庫組件SQLite進行了研究,從攻防的廣度和縱深度兩個層面拓寬了安全研究的邊界。
團隊技術(shù)負責(zé)人cradmin表示:“ Tencent Blade Team致力于前沿領(lǐng)域的前瞻安全技術(shù)研究,希望最大化顯現(xiàn)漏洞價值,從而提升騰訊產(chǎn)品的安全性、創(chuàng)造更安全的互聯(lián)網(wǎng)生態(tài),發(fā)現(xiàn)漏洞只是團隊進行安全研究的第一步。”他介紹道,在安全研究的過程中,Tencent Blade Team扮演著三個角色:安全邊界的探索者,安全防線的共建者,安全生態(tài)的打造者。
探索安全邊界,多次發(fā)布重大研究成果
Tencent Blade Team自成立以來發(fā)現(xiàn)了多項重大安全研究成果。僅在12月,Tencent Blade Team研究員就先后公布了兩個重大發(fā)現(xiàn):Chrome瀏覽器的Web藍牙模塊和SQLite組件均存在嚴重漏洞,可分別導(dǎo)致Chrome沙盒逃逸和遠程代碼執(zhí)行。
前者可讓攻擊者通過藍牙模塊的內(nèi)存破壞漏洞,實現(xiàn)“越獄”,進而獲取更多權(quán)限。此前業(yè)界對于這一攻擊面的研究極少,谷歌公開的漏洞中,僅有三個能通過Web藍牙組件實現(xiàn)代碼執(zhí)行、沙箱逃逸,其中Tencent Blade Team就占據(jù)了前兩席。
后者則延續(xù)了Tencent Blade Team對知名開源數(shù)據(jù)庫SQLite的研究,新發(fā)現(xiàn)的SQLite組件漏洞被命名為麥哲倫2.0,進一步完善了SQLite的縱深防御體系。繼發(fā)現(xiàn)麥哲倫1.0并成功入選Blackhat和DEFCON議題之后,研究員再度發(fā)現(xiàn),SQLite中存在嚴重漏洞,可讓攻擊者繞過增設(shè)的防御系統(tǒng),造成程序內(nèi)存泄露或程序崩潰甚至代碼執(zhí)行。SQLite被廣泛應(yīng)用于所有主流操作系統(tǒng)和軟件中,因此該漏洞影響極為廣泛,各個系統(tǒng)的谷歌Chrome瀏覽器,以及安卓上使用Webview的APP,以及一些基于Chromium內(nèi)核開發(fā)的瀏覽器等都受到影響。目前,漏洞已報給谷歌及SQLite官方,并被確認及修復(fù)。
此前在美國拉斯維加斯舉行的世界頂級黑客大會Blackhat & DEFCON2019的舞臺上,Tencent Blade Team斬獲了五個議題席位,研究涵蓋移動互聯(lián)網(wǎng)、手機基帶、物聯(lián)網(wǎng)、基礎(chǔ)軟件庫等多方面,創(chuàng)下了國內(nèi)團隊數(shù)量之最。
共建安全防線,從漏洞挖掘到防御建設(shè)
除了不斷探索安全研究的邊界外,Tencent Blade Team也在充分利用攻擊者視角的優(yōu)勢,參與到防御建設(shè)中來,做“安全防線的共建者”。此次在發(fā)現(xiàn)麥哲倫2.0的過程中,他們就提出了一種全新的fuzz漏洞挖掘思路和工具,被谷歌采納,集成到了內(nèi)部fuzz工具庫。據(jù)谷歌反饋,這一工具上線后,短期內(nèi)即發(fā)現(xiàn)了SQLite中10余個安全和穩(wěn)定性問題。
Tencent Blade Team由專注于騰訊內(nèi)部安全的騰訊安全平臺部孵化而成,長期的前沿攻防實戰(zhàn)經(jīng)驗也有助于內(nèi)網(wǎng)安全能力的建設(shè),包括網(wǎng)絡(luò)保障、漏洞收斂、應(yīng)用防護、入侵對抗、應(yīng)急響應(yīng)、威脅情報、安全質(zhì)量提升等多方面,以攻促防,打造騰訊內(nèi)部完善的安全防御體系,并依托騰訊云、互聯(lián)網(wǎng)+等渠道,將十五年騰訊安全防護最佳實踐以產(chǎn)品形態(tài)輸出,助力數(shù)字化產(chǎn)業(yè)安全。此次,騰訊安全應(yīng)急響應(yīng)中心(Tsrc)也斬獲了“2019年度漏洞應(yīng)急工作突出單位”,騰訊安全玄武實驗室同樣獲得了“最佳價值漏洞獎”,彰顯了騰訊整體對安全的大力投入。
Tencent Blade Team也深度參與到了騰訊多個產(chǎn)品的安全審計、合規(guī)認證中,涵蓋支付、智能設(shè)備、云安全、區(qū)塊鏈等多個領(lǐng)域,充分將攻擊思維用于防御建設(shè)中,構(gòu)建完善的縱深防御系統(tǒng)。
顯現(xiàn)產(chǎn)業(yè)價值,全鏈路合作打造安全生態(tài)
除了在攻防上的持續(xù)探索,接下來開放安全能力助力行業(yè)也是騰訊Blade Team的重點方向之一。目前,Tencent Blade Team已建立與谷歌、蘋果、微軟、高通、華為、小米等國內(nèi)外一流廠商的協(xié)作模式。同時,將安全能力開放給產(chǎn)業(yè),通過標準制定、安全認證等多個模式,共同搭建產(chǎn)業(yè)安全體系。
cradmin提到,今年團隊主導(dǎo)完成了《騰訊物聯(lián)網(wǎng)安全技術(shù)規(guī)范》和《騰訊智能門鎖安全技術(shù)要求》,助力騰訊云成功推出物聯(lián)網(wǎng)設(shè)備安全測評服務(wù);還聯(lián)合騰訊標準團隊制定物聯(lián)網(wǎng)安全相關(guān)標準在ITU-T成功立項,提交區(qū)塊鏈安全標準提案在CCSA TC8會議成功立項。
產(chǎn)業(yè)互聯(lián)網(wǎng)時代,構(gòu)建安全生態(tài),需要上下游多方的參與,“安全研究發(fā)現(xiàn)問題–廠商協(xié)作解決問題–產(chǎn)業(yè)合作完善生態(tài)”的合作模式正在成為Tencent Blade Team的常態(tài)機制。
未來,Tencent Blade Team也將繼續(xù)做好安全邊界的探索者,安全防線的共建者,安全生態(tài)的打造者,充分保障產(chǎn)品、用戶和行業(yè)的安全。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 馬斯克腦機接口公司Neuralink再陷調(diào)查風(fēng)波:SEC‘重新啟動’調(diào)查,科技巨頭面臨新挑戰(zhàn)
- 工信部成立新標準化技術(shù)委員會,揭開人工智能標準化新篇章:未來已來,智標引領(lǐng)未來發(fā)展
- 深圳龍崗粵科人工智能創(chuàng)投基金成立:10億大手筆揭開人工智能新篇章!
- 極米科技子公司喜獲汽車主機廠開發(fā)定點,嶄新篇章開啟,未來市場潛力無限!
- 未來之源:清潔氫引領(lǐng)全球電力行業(yè)綠色轉(zhuǎn)型至2035年
- 溫寧克接棒:ASML前CEO出任喜力新篇章監(jiān)事會主席,釀造啤酒業(yè)的未來新視角
- 國芯科技在汽車電子MCU領(lǐng)域掀起芯片革命:系列化產(chǎn)品引領(lǐng)創(chuàng)新潮流
- 生益科技:全球第二,引領(lǐng)柔性電子產(chǎn)業(yè)的新篇章
- 馬斯克宣布SpaceX總部遷至得州“星際基地市”:揭秘火星計劃新篇章,創(chuàng)新之翼飛向未來!
- 科創(chuàng)板收盤:科創(chuàng)50指數(shù)跌破1000點,存儲芯片板塊逆勢領(lǐng)漲,市場暗藏新機遇!
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。