Chercheur en sécurité et membre de l'équipe Alpha chez Qihoo 360, Guang Gong a été récompensé par Google d'une somme totale de 112 500 $ pour avoir découvert et rapporté une chaîne d'exploitation pouvant compromettre des appareils mobiles Pixel.

Les noms de diverses équipes de Qihoo 360 sont fréquemment mentionnés dans les notes de version pour les mises à jour de sécurité d'Android. Le hacker chinois Guang Gong a par ailleurs brillé dans des concours comme le Mobile Pwn2Own.

Dans le cadre du programme Android Security Rewards lancé en 2015, la récompense attribuée à Guang Gong constitue un record. Pour autant, avec la réévaluation des récompenses en juin dernier, une vulnérabilité critique peut rapporter jusqu'à 200 000 $.

En l'occurrence, Guang Gong a débusqué deux bugs de sécurité à enchaîner : CVE-2017-5116 et CVE-2017-14904.

La première vulnérabilité est un bug affectant le moteur JavaScript V8 (Chromium et Chrome) et permettant à un attaquant distant d'exécuter du code arbitraire dans une sandbox avec du code HTML spécialement conçu. Cette faille a reçu 7 500 $ via le programme Chrome Rewards.

Le deuxième vulnérabilité à 105 000 $ - via le programme Android Security Rewards (ce qui est donc le record actuel) - est un bug au niveau du module libgralloc utilisé pour un échappement de la sandbox de Chrome.

Ensemble, ces deux failles permettent " d'injecter du code arbitraire dans le processus system_server en accédant à une URL malveillante dans Chrome ", écrit l'équipe Android Security. Les trouvailles de Guang Gong, qui remontent à août 2017, ont droit à une publication avec des détails techniques.

Le problème avec Chrome a été corrigé en septembre, et celui avec Android lors de la mise à jour de sécurité Android de décembre. Individuellement, les vulnérabilités n'avaient pas été annoncées critiques.