北京时间10月26日,东京MobilePwn2Own黑客大赛开幕,科恩实验室用时仅10秒便成功完成nexus6pappinstall攻破挑战,为本届黑客大赛头个成功破解的团队,同时也是全球首先个破解nexus6p和Android7的团队。
MobilePwn2Own是由TrendMicro旗下的知名安全项目ZeroDayInitiative举办,谷歌、三星、苹果等移动设备制造商为比赛提供奖金赞助。本次大赛将重点关注移动操作系统、手机浏览器和手机应用APP的安全性问题。大赛主要目的是希望安全研究人员、开发人员、以及黑客们通过厂商此前未知的漏洞来侵入其制造的移动设备,在成功攻破设备后,将漏洞细节按照国际遵循的“负责任的漏洞披露”流程汇报给相应的设备厂商,以便厂商尽快对这些漏洞进行修补和修复,保护最终用户。
本届MobilePwn2Own大赛在赛制上进行了调整,奖金池总额也将超过50万美金。参赛团队共有3次尝试机会,但每次尝试不可超过5分钟,也就是必须在15分钟内完成挑战,相较于以往30分钟内无限次尝试,本次比赛的激烈程度将大幅提升。此外,在攻击面上,赛事组委会初次禁止参赛团队从NFC、蓝牙、应用市场等简单的面切入,只能以移动浏览器为入口进行攻击。
参赛团队将以iPhone6S、Nexus6p、GalaxyS7为硬件目标,分别对其进行获取手机内部敏感信息、给手机安装恶意应用程序、固件及破解三个攻击项目。值得注意的是,两大移动平台厂商Apple和Goolgle于近期相继发布了比较新版操作系统iOS10以及Android7.0。其中,iOS10采用了更严格的沙盒策略,Safari浏览器新加了Executable-OnlyJIT策略,使得任意代码执行变得更难。而谷歌旗下推出的智能机Nexus6P更是搭载了比较新的AndroidNougat,安全上更是精益求精,大规模的系统重构消灭和隔离了多个薄弱组件、重新设计了权限分割系统。腾讯科恩实验室团队将在这样严苛的竞赛制度和环境中,与国际先进安全厂商争夺“TheMasterofPwn”(破解大师)的称号。
早前,由科恩高档研究员陈良领衔的研究团队就曾攻破当时比较新iOS版本的iPhone智能手机,并夺得MobilePwn2Own2013的较高排名。此外,代表腾讯安全参赛的腾讯科恩实验室团队在其他世界知名黑客大赛中也得到认可,在2013年至2016年期间,连续四年参加全球最知名的黑客大赛Pwn2Own已揽获八个单项较高排名,并于2016年和腾讯电脑管家组成联队代表腾讯参加Pwn2Own夺得该赛事史上首先个MasterofPwn(破解大师)称号。在2015年和2016年获得由全球黑客奥斯卡之称的BlackhatPwnie奖五项理想提名。
(推广)