11 月 14 日消息 周四,最新一界 Mobile Pwn2Own 黑客大赛落下帷幕,本次有很多黑客专门找 Windows Phone 和 Android 下手,但他们真正实现破解目标的只有一部分,尤其是 Windows Phone 平台。 正如大会的名称所示,本周大多主要针对的是“Mobile”移动设备,由 HP ZDI(Zero-Day Initiative)负责举办,主要侧重于展示“零日”漏洞可用于破解和完全控制设备。 第二天无奖金产生:WP沙盒难破 本届 Mobile Pwn2Own 黑客大赛的最后一天,法国老牌安全公司 Vupen 的资深安全研究人员 Nico Joly,选择攻击 Windows Phone 平台的 Lumia 1520 手机,尝试通过网络浏览器漏洞完全控制设备。 经过一番挑战,Nico Joly 成功的闯入了 Windows Phone 上 IE 移动浏览器的 cookie 数据库,然而令他意想不到的是,其安全沙盒机制让其根本无法完全控制设备。不过能够做到这一步已经是壮举,因为通过 Cookie 他可以访问到设备主人在网上的各种账户,并进行修改。 最后一天还有一名受人关注的黑客是 Jüri Aedla,他挑战的是一款运行 Android 的 Nexus 5 手机,尝试通过 Wi-Fi 直接攻击手机,挖掘其 DHCP 漏洞远程执行代码。但遗憾的是,他虽破解入侵,可远程启动网络浏览器,但却无法提升更多权限,也未能成功完全控制设备。 Mobile Pwn2Own 的奖金由谷歌和黑莓提供,本次共计 42500 美元,举办地在日本东京,第二天由于双双失败黑客们都拿不到奖金。 黑客大赛第一天,所有挑战者都成功了 第一天的黑客大赛上,黑客成功破解了多款旗舰设备,包括三星 Galaxy S5、LG Nexus 5、苹果 iPhone 5S 和 Amazon Fire Phone。 NFC 近场通信技术终于被黑客用于当做破解设备的媒介,来自南非 MWR InfoSecurity 机构的 Jon Butler 和日本的 Team MBSD 团队破解了三星 Galaxy S5,英国 Aperture Labs 团队的 Adam Laurie 则成功击破了 Nexus 5。 至于 iPhone,lokihardt@asrt 黑客利用两个漏洞,成功突破图片内置浏览器 Safari 的保护层。亚马逊的 Fire Phone 的浏览器安全性漏洞不仅被挖掘,同时还被获取了完全控制权。 总的来说,所有通过网络浏览器成功破解获取控制权的黑客,均拿到了 50000 美元的奖励,而基于 NFC 攻击获得的奖金稍高一些,达到 75000 美元。目前这些黑客所利用的漏洞按照比赛规格已被公开,HP ZDI 验证和确认后,将披露给产品受到影响的公司。 |
