360安全應急響應中心正式發布微博承認360兒童衛士2存在漏洞
責編:admin |2014-10-28 12:11:42今天,360安全應急響應中心正式發布微博承認360兒童衛士2存在漏洞:360安全應急響應中心感謝GeekPwn在比賽結束后提供的360兒童衛士2漏洞細節報告。這也意味著360經過最初數天的否認之后,正式承認了360兒童衛士2(360兒童手表)存在漏洞。
2014年10月24和25日連續兩天,中國最大規模的國際智能設備挑戰賽-GeekPwn上,展示了包括iOS8越獄首秀等諸多精彩環節。尤其值得關注的是,360安全路由器和360兒童衛士2相繼被到場的白帽子黑客攻破。
GeekPwn是中國國內首次由民間安全團體組織的與國際接軌的大規模智能設備挑戰賽。大賽組織者表示,與通常意義上以做破壞為主的黑客不同,白帽子黑客更多是發現漏洞,并且協助廠商修復漏洞,以便讓產品越來越安全,支持GeekPwn的大牌廠商如谷歌、微軟等愿意為白帽子黑客提供獎金以便修復其漏洞。
但是,活動突起波瀾。在360兒童衛士2被攻破之后,奇虎360董事長周鴻祎迅速發出微博否認360兒童衛士2被攻破的事實,并指責活動方和參賽極客是打手、鷹犬,這些貶義詞在安全行業人員中引起巨大情緒反彈。不過,周鴻祎默認了360安全路由器被攻破一事,對此事默不作聲。
有意思的是周鴻祎和360方面態度的轉變。從最開始的矢口否認漏洞存在,到后來希望GeekPwn提供漏洞細節,然后又變為誰能發現360兒童手表的漏洞,就獎勵十萬元獎金。今天,360安全應急響應中心正式發布微博承認360兒童衛士2存在漏洞:360安全應急響應中心感謝GeekPwn在比賽結束后提供的360兒童衛士2漏洞細節報告。目前,360已完成對該漏洞的修復,我們將按照相應的獎勵方案,對漏洞報告者給予致謝與獎勵。
那到底360兒童衛士(360兒童手表)為什么之前說沒有被攻破呢?筆者與GeekPwn組委會進行了溝通,希望得到事實真相。
據一位在場的組委會成員介紹,活動當天成功演示了針對360兒童衛士的兩個功能的攻破:第一個是敏感信息竊取,可以隨時隨地獲得孩子的位置信息;第二個是自動把兒童衛士的手機客戶端踢掉線,使家長失去和小孩的聯系。
在選手身邊現場觀看了選手演示全程的三位現場裁判,代表大賽所有評委認可了白帽子黑客通過漏洞實現了針對360兒童衛士的攻破,而實現攻破就意味著,黑客可以通過該漏洞,實現“你知道你孩子在哪里,我也可以知道你孩子在哪里。”這對于使用了360兒童衛士的家庭來說,是一個潛在的隱患。
GeekPwn組委會表示,報告360兒童衛士2漏洞的郵件已經發送給于2014年10月25日下午16:02發送給360漏洞報告中心。在經過最初幾天的連續否認后,360在2014年10月27日最終確認360兒童衛士2的漏洞。
GeekPwn組委會表示,愿意協助360修復更多漏洞,進一步提高360兒童衛士的安全度。