根据国外媒体的最新报道,腾讯科恩实验室的安全研究人员在2016年Pwn2Own黑客大赛上仅用了五分钟便成功入侵了Nexus6P和iPhoneiOS 10.1,并一举揽获了21.5万美元的大赛奖金。 就在前几天,曾有安全研究人员发现可以利用图片或者PDF文件来入侵苹果手机。而现在我想告诉大家的是,腾讯科恩实验室的安全研究专家在2016年Pwn2Own移动黑客大赛的比赛中,仅用了五分钟便成功入侵了一台Nexus6P。 是的,你没听错!科恩实验室的黑客使用了一款恶意软件来入侵Nexus6P,这款恶意软件不需要用户进行任何的交互操作,所有的攻击活动会在五分钟内自动执行完毕。 Pwn2OwnPwn2Own是全世界最著名、奖金最丰厚的黑客大赛,由美国五角大楼网络安全服务商、惠普旗下TippingPoint的项目组ZDI(ZeroDay Initiative)主办,谷歌、微软、苹果、以及Adobe等互联网行业巨头都对比赛提供支持,这些企业旨在通过黑客的攻击和挑战来完善自身产品的安全性。大赛自2007年举办至今,每年三月都会在加拿大温哥华举办的CanSecWest安全峰会上举行。 腾讯科恩实验室(KeenLab)腾讯科恩实验室是腾讯安全新成立的一支专注于云计算与移动终端安全研究的白帽黑客团队。该团队的核心成员大多来自于原KeenTeam团队,这个团队中的黑客是亚洲最早参加Pwn2Own大赛并夺冠的世界超一流黑客。在加拿大温哥华刚刚落下帷幕的世界顶级安全赛事Pwn2Own2016上,由科恩实验室和腾讯电脑管家共同组队的腾讯安全Sniper战队再攀高峰,凭借总积分38分成为了Pwn2Own2016史上第一个世界总冠军,并且获得来这一顶级赛事史上首个“Masterof Pwn”(世界破解大师)称号。 赛事战报今年总共有两支黑客团队参加了Pwn2Own的比赛,一个是腾讯旗下的科恩安全实验室,而另外一支队伍则是由来自MWR实验室的RobertMiller和GeorgiGeshev组成的。 科恩实验室的白帽黑客通过入侵Nexus6P赢得了102,500美金,而这也许是目前世界上第一次黑客公开的Nexus6p远程入侵。在此次攻击过程中,安全研究专家利用了两个安全漏洞以及一个Android系统的安全问题,而ZDI项目组也为此次的远程入侵向科恩实验室提供了102,500美元的漏洞奖金。除此之外,该团队也因此获得了29个大赛积分。需要注意的是,黑客们在此次大赛上的攻击目标还包括三星GalaxyS7在内。 在此次比赛中,科恩实验室也曾尝试在iPhone6S手机中安装恶意软件。但是这一攻击只成功了一部分,因为在设备中某个默认配置的影响之下,导致他们所安装的恶意软件无法实现持久化。但是,大赛仍然为科恩实验室在iPhone6S中所发现的安全漏洞颁发了6万美元的漏洞奖励。 除此之外,科恩实验室的安全研究人员还利用了一个用后释放(UFA)漏洞成功窃取到了iPhone6S中的用户照片,并通过此次入侵赢得了52,500美金和16个大赛积分。在此我要提醒各位同学,此次攻击针对的都是苹果公司刚刚发布的iOS10.1。 赛事战果此次大赛为黑客们总共提供了37.5万美元的奖金,而经过紧张而激烈的比赛,腾讯科恩实验室最终斩获了其中的21.5万美金。说实话,我们应该大力赞扬这些参加Pwn2Own2016移动黑客大赛的黑客们,因为如果他们将这些漏洞卖给情报机构或者0day漏洞收购公司的话,他们能赚到的钱也许会更多。正是因为有这些白帽黑客的存在,我们的世界才会朝着更加安全的方向前进。 * 参考来源:securityaffairs,FB小编Alpha_h4ck编译 |