“玄武實驗室”是騰訊新成立的信息安全研究部門,成立於 2014 年,憑藉輸出的漏洞研究報告,在原創漏洞提交的工作中名列第一,被國家信息安全漏洞共享平台授予原創漏洞報送突出貢獻單位的稱號。負責人是人稱“婦科聖手”的國際頂級白帽黑客於暘(TK教主)。
騰訊安全玄武實驗室被行業稱為“漏洞挖掘機”。騰訊安全玄武實驗室自成立以來先後有22項研究成果被BlackHat、DEFCON、CanSecWest等國際頂級安全會議接受,還曾發現並協助華為、聯想、Adobe、Apple、Google、Microsoft等國內外企業修復了上千個安全問題。在玄武實驗室對外報告的漏洞中,僅有CVE編號的就超過800個。重要研究成果包括:2015年針對條碼閱讀器的安全研究成果“BadBarcode”、2016年針對微軟網路協定的研究成果“BadTunnel”、2017 年針對移動套用的研究成果“套用克隆”、2018年針對屏下指紋驗證技術的研究成果“殘跡重用”等。
由於對 Windows 系統安全研究方面的貢獻,玄武實驗室多次獲得微軟安全賞金計畫的獎勵,總金額超過10萬美元。2016年和2017年玄武實驗室還分別獲得了被譽為“安全奧斯卡”的Pwnie Awards年度“最具創新性研究獎”提名,以及年度“史詩成就獎”提名。這也是這兩個獎項設立十年來第一次有亞洲人獲得提名。
基本介紹
- 中文名:玄武實驗室
- 所屬公司:騰訊
- 所獲榮譽:漏洞緩解繞過挑戰榮譽榜獎金
命名由來,三大研究方向,成果&榮譽,安全演講,相關新聞,
命名由來
“玄武”是中國傳統文化四象之一,“青龍、白虎、朱雀、玄武”,前三象都是由一種動物組成的,只有“玄武”是由龜和蛇兩種動物組成,龜和蛇恰好可以象徵著網路安全兩個方面——攻擊和防禦,攻擊和防禦又是做網路安全必不可缺的一體兩面,此名字可以恰到好處地表明對網路安全研究的一種象徵。
三大研究方向
第三,與各種智慧型硬體相關的研究,如智慧型家電、智慧型穿戴設備等設備。智慧型硬體在人們使用的信息網路里加入了大量的感測器和控制器,這些感測器控制器也會成為新的信息來源,加上傳統設備共同形成一個新的信息環境。
成果&榮譽
2015年7月 | 登上微軟“漏洞緩解繞過挑戰榮譽榜” |
2015年8月 | 登上微軟 TOP100 黑客貢獻榜第二名 |
2015年11月 | 發現影響遍及整個條碼閱讀器行業的 “BadBarcode” 問題 |
2015年12月 | 獲得 “WitAwards” 年度安全研究成果獎 |
2016年6月 | 發現影響從Win95到Win10的 “BadTunnel” 超級漏洞獲得微軟5萬美元獎勵 |
2016年7月 | 獲得 “Pwnie Awards 最具創新性研究獎” 提名 |
2016年10月 | GeekPwn 2016跨次元大賽無人機對戰出題方 |
2017年3月 | 獲得國家信息安全漏洞共享平台(CNVD)授予的 “原創漏洞報送突出貢獻單位” 獎 |
2017年3月 | Pwn2Own2017十秒完美首破微軟Edge瀏覽器 |
2017年5月 | 獲得 “GeekPwn” 年中賽 “最佳腦洞獎” |
2017年5月 | 獲得國家信息安全漏洞庫(CNNVD)授予的 “2016年度優秀支撐單位” 獎 |
2017年7月 | 獲得 “Pwnie Awards 史詩成就獎” 提名 |
2017年12月 | 玄武實驗室的“阿圖因”軟體空間安全測繪系統成功入選了第四屆世界網際網路大會領先科技成果大會發布的58項世界網際網路領先科技成果,被載入大會官方發布的《科技之魅》一書 |
2019年1月 | 第三屆“傑出工程師”青年獎 |
安全演講
2014年10月 | 【第二屆開源作業系統技術年會】演講 —— 泛路徑敏感的程式遍歷方法 |
2014年11月 | 【POC2014】演講 —— JavaScript VM breakout based exploiting |
2015年6月 | 【GeekPwn公開課】演講 —— IE沙箱的攻防對抗 |
2015年8月 | 【KCon 2015】演講 —— Mobile Browser UI Security |
2015年8月 | 【HitCon 2015】演講 —— spartan 0day & exploit |
2016年1月 | 【CanSecWest 2016】演講 —— Sandbox Escape with Generous Help from Security Software |
2016年4月 | 【Qcon 2016】演講 —— 沙箱逃逸:來自安全軟體的鼎力相助 |
2016年8月 | 【Black Hat USA 2016】演講 —— BadTunnel:NetBIOS Name Srevice spoofing over the Internet |
2016年11月 | 【GITC 2016全球網際網路技術大會】演講 —— Windows 10 x64 edge 0day and exploit |
2017年3月 | 【CanSecWest 2017】演講 —— Cyber WMD:Vulnerable IoT |
2017年3月 | 【BlackHat Asia 2017】演講 —— Dig Into the Attack Surface of PDF and Gain 100+ CVEs in 1 Year |
2017年3月 | 【NSC 2017第五屆中國網路安全大會】演講 —— 瀏覽器地址欄之困 |
2017年3月 | 【CanSecWest 2017】演講 —— State of Windows Application Security:Shared Libraries |
2017年4月 | 【BlackHat Asia 2017】演講 —— DAILY-LIFE PEEPER: BUG HUNTING AND EXPLOIT TECHNIQUES IN IOT |
2017年5月 | 【GeekPwn 2017】演講 —— Wombie Attack-手機殭屍 |
2017年5月 | 【2017 CNCERT 中國網路安全年會】演講 —— PDF漏洞挖掘實踐-在一年內獲得上百個CVE |
2017年6月 | 【網安中國行(貴州站)】演講 —— 路由器攝像頭滲透和三星支付劫持 |
2017年6月 | 【網安中國行(天津站)】演示 —— 條形碼攻擊演示 |
相關新聞
2015年,微軟官網“漏洞緩解繞過挑戰榮譽榜”上公布了騰訊安全旗下的玄武實驗室獲得微軟4.5萬美元高額獎金的訊息,騰訊安全與微軟在電腦漏洞修補上有多年的合作,旗下騰訊電腦管家也因多次協助微軟發現了多個高危漏洞補丁,登上微軟官網的漏洞致謝名單,成為國內少有的獲此殊榮的個人電腦安全廠商之一。
2018年1月,騰訊玄武實驗室推出了線上Spectre漏洞檢測工具,此工具可檢測瀏覽器是否易於遭受“幽靈”漏洞的攻擊。
2018年1月9日,“套用克隆”這一移動攻擊威脅模型正式對外披露。在發現這些漏洞之後,騰訊安全玄武實驗室通過CNCERT向廠商報告了相關漏洞,並提供了修複方法。但考慮到相關問題影響之廣,難以將相關信息逐個通知給所有移動套用開發商,所以通過新聞發布會希望更多移動套用開發商了解該問題並進行自查。同時,玄武實驗室將提供“玄武支援計畫”協助處理。
在2018年10月24日召開的2018GeekPwn極棒上,騰訊安全玄武實驗室首次公開了針對屏下指紋解鎖型設備的“殘跡重用”漏洞——當機主未擦掉螢幕上留下的指紋時,攻擊者使用反光材料蓋在指紋上,手機內置光源即可識別機主指紋,成功解鎖手機。為進一步加強與安全領域企業和組織的互動和溝通,華為在彼時推出“漏洞獎勵計畫”,向受邀安全研究者提供最高100萬元人民幣的漏洞發現獎勵和榮譽致謝,希望藉助行業的共同力量,不斷提升產品安全性,全方位保障產品安全。玄武實驗室作為該漏洞獎勵計畫的金牌合作夥伴,將與華為應急回響中心一道對提交的漏洞進行共同把關和評估。
並再次披露了指紋識別領域的最新研究——自動化破解多種類型指紋識別。該研究通過提取用戶在日常生活中留存的指紋,自動化進行克隆復原,進而通過各種指紋設備的驗證。