安全研究員報告了一個漏洞利用鏈，域名購買 directadmin購買，能夠用來黑掉谷歌Pixel智能手機，為此，谷歌提供了112500美元的獎金。

2017年8月，360公司Alpha團隊白帽子發現了新的漏洞利用鏈，上周谷歌披露了該漏洞技術細節。據悉，該白帽子是通過Android安全獎勵（ASR）計劃提交了兩個漏洞CVE-2017-5116和CVE-2017-14904。

谷歌發布的分析顯示：“該漏洞鏈包括兩個漏洞，CVE-2017-5116和CVE-2017-14904。 CVE-2017-5116是一個V8引擎錯誤，用于在沙盒渲染過程中獲得遠程代碼執行。 CVE-2017-14904是Android的libgralloc模塊中的一個漏洞，用于Chrome的沙箱中。 通過訪問Chrome中的惡意URL，這個漏洞利用鏈可以用來將任意代碼注入到system_server中。”

利用該漏洞，攻擊者可以在訪問Chrome中的惡意URL時，將任意代碼遠程注入到system_server進程中。在遭受攻擊的情況下，受害者可能被誘騙點擊這樣的惡意URL，進而徹底搞定他們的移動設備。

因為這個漏洞鏈，這位白帽子獲得了105000美元獎勵，他還通過Chrome Rewards計劃獲得了7500美元的額外獎金。Google解決了這個漏洞，作為谷歌Android 12月安全公告42個漏洞的一部分。

Pixel智能手機以及使用A/B更新的合作設備，都能夠自動安全更新了來解決這個了漏洞。

“Android安全小組對我們的報告作出了快速反應，并在2017年12月的安全更新中包含了這兩個漏洞的修復。受支持的Google設備和設備安全補丁級別為2017-12-05或更高版本，都可解決這些問題。”谷歌總結道。

迄今為止，ASR的總支出獎勵超過了150萬美元，服務器租用 免備案服務器，最高研究團隊憑借118個漏洞報告賺取了30萬美元。