三星、谷歌名人堂发布,漏洞研究新“星”升起
日期:2022年03月03日 阅:217
1、新“星”升起
近日,三星、谷歌两大硬、软件巨头,相继发布了2021年漏洞名人堂和榜单,榜单从漏洞数量和严重程度两大维度出发,在全球安全组织/人员中进行综合排名,从硬软两个层面,客观反应出目前全球漏洞研究领域安全组织/人员的实力情况。
其中,京东信息安全实验室在本次排名中尤为亮眼,三星名人堂排名6,国内企业第一,Google名人堂排名32,国内企业第二,在软硬件漏洞双料研究中,成为一颗冉冉升起的新“星”。
另外,值得一提相较于2020年大部分上榜均为国外安全研究员,本次三星安全名人堂多了很多中国研究团队的身影,京东、百度、盘古、蚂蚁的安全专家均成功跻身2021名人堂中,分列6、7、8、9名(共10名)。这也从侧面说明我国在安全的漏洞研究领域在去年一年中,取得了很多突破性的进展和成果,中国漏洞安全研究的实力得到了进一步的增强。以这些专家为代表的一大批中国安全专家,正在成为捍卫互联网安全的支柱力量。
2、探索“星辰”
所谓不知攻焉知防,这就是漏洞研究的意义所在。而想搞好漏洞研究,不仅要有“量”(最大化发现风险),更要有“质”(发现高危风险)。京东信息安全实验室之所以能在短时间内成为一匹黑马,有着他们自己的初心与“诀窍”——
京东信息安全实验室旗下的星辰实验室自成立之始,便本着捍卫安全网络世界、丈量未至之地的初心,聚集了一批热爱前沿系统和IoT安全研究的年轻极客,他们中有在漏洞研究领域深耕多年的“大佬级”专家,亦有对漏洞研究充满向往的热血小白,在共同初心的指引下,开荒了一个又一个“未知地图”,在各大榜单的排名中不断挺进。
在“量”方面,星辰实验室自主开发了自动化漏洞挖掘工具“星鉴”,集合“静-基于人工智能的数据流程序分析技术”、“动-基于遗传算法的动态程序测试技术”、“专-基于专家经验的变异分析技术”的三相之力,让漏洞挖掘这件事情变得事半功倍。
在“质”方面,星辰实验室在星鉴框架的基础上,辅以资深安全专家多年的经验,对各基础系统、IoT固件、App进行深度挖掘和分析,仅半年便发现了很多“核弹级”漏洞,如Android系统的魔形女漏洞和三星系统中的System提权漏洞等,攻击者可凭借这些漏洞获取用户隐私数据、控制用户手机,这些漏洞的发现,极大的保护了用户的隐私和行业的生态安全,不仅获得Google、三星、华为、小米、OPPO等众多国内外头部企业的公开致谢,还赢得了国际上安全行业的广泛认可,受邀在Black Hat、CanSecWest、HITB、PoC等国际顶级安全会议上进行分享。
3、点亮“黑暗”
星火之力,可以燎原。
在星辰实验室的官方介绍中写道:“致力于IoT和隐私保护相关基础设施和系统的安全研究,聚焦核弹级前沿漏洞挖掘和防御和自动化攻防能力研发,护航京东集团业务,捍卫用户隐私,为数智化提供安全免疫。”
事实上,不只星辰实验室,在《数据安全法》、《个人信息保护法》等相关法律法规的相继颁布实施、社会公众层面对于隐私问题越来越重视的大背景下,作为拥有大量数据的京东集团,京东安全在隐私保护方面一直在持续投入。
为了保护用户隐私,京东集团在去年率先完成了生态数据脱敏的工作,使商家和生态伙伴,在没有用户隐私信息的前提下,也能够高效完成订单配送,为用户提供优质体验,极大程度上避免了用户手机号等隐私数据的泄露,成为相关主管机构的标杆案例,向全国150多家互联网企业进行推广。
在刚刚过去的虎年春晚红包活动中,面对近700亿次的观众互动,数据迸发量巨大的挑战,京东通过创新性的风控技术和加解密技术,不仅阻止了羊毛党薅取真实用户福利,还在大量数据冲击的情况下,实现了精细化的数据加解密和权限管控工作,完美地保障了春晚活动期间用户的账户和财产安全。
此外,京东安全也从未放弃对前沿技术的研究,用更强的技术取保护大家。去年,京东安全实验室旗下的另一前瞻研究团队——天琴实验室,在隐私计算技术研究取得了突破性进展,推出的隐私计算平台成为业内少数具有隐私计算输出能力的产品,在成熟度、易用性和开源支持方面均优于国内现有产品……
点点滴滴,均展示出京东安全保护用户隐私、捍卫安全网络世界的决心。在黑客威胁加剧的今天,京东安全也希望能够和更多业内的伙伴们一起,共同点亮“黑暗”,守护“光明”!