北京时间10月26日,东京Mobile Pwn2Own黑客大赛开幕,科恩实验室用时仅10秒便成功完成nexus 6p app install攻破挑战,为本届黑客大赛首个成功破解的团队,同时也是全球第一个破解nexus 6p和Android 7的团队。
Mobile Pwn2Own是由Trend Micro旗下的著名安全项目Zero Day Initiative举办,谷歌、三星、苹果等移动设备制造商为比赛提供奖金赞助。本次大赛将重点关注移动操作系统、手机浏览器和手机应用APP的安全性问题。大赛主要目的是希望安全研究人员、开发人员、以及黑客们通过厂商此前未知的漏洞来侵入其制造的移动设备,在成功攻破设备后,将漏洞细节按照国际遵循的“负责任的漏洞披露”流程汇报给相应的设备厂商,以便厂商尽快对这些漏洞进行修补和修复,保护最终用户。
本届Mobile Pwn2Own大赛在赛制上进行了调整,奖金池总额也将超过50万美金。参赛团队共有3次尝试机会,但每次尝试不可超过5分钟,也就是必须在15分钟内完成挑战,相较于以往30分钟内无限次尝试,本次比赛的激烈程度将大幅提升。此外,在攻击面上,赛事组委会首次禁止参赛团队从NFC、蓝牙、应用市场等简单的面切入,只能以移动浏览器为入口进行攻击。
参赛团队将以iPhone6S、Nexus 6p、Galaxy S7为硬件目标,分别对其进行获取手机内部敏感信息、给手机安装恶意应用程序、固件及破解三个攻击项目。值得注意的是,两大移动平台厂商Apple和Goolgle于近期相继发布了最新版操作系统iOS 10以及Android 7.0。其中,iOS 10采用了更严格的沙盒策略,Safari浏览器新加了Executable-Only JIT策略,使得任意代码执行变得更难。而谷歌旗下推出的智能机Nexus 6P更是搭载了最新的Android Nougat,安全上更是精益求精,大规模的系统重构消灭和隔离了多个薄弱组件、重新设计了权限分割系统。腾讯科恩实验室团队将在这样严苛的竞赛制度和环境中,与国际顶尖安全厂商争夺“The Master of Pwn ”(破解大师)的称号。
早前,由科恩高级研究员陈良领衔的研究团队就曾攻破当时最新iOS版本的iPhone智能手机,并夺得Mobile Pwn2Own 2013的冠军。此外,代表腾讯安全参赛的腾讯科恩实验室团队在其他世界知名黑客大赛中也得到认可,在2013年至2016年期间,连续四年参加全球最著名的黑客大赛Pwn2Own已揽获八个单项冠军,并于2016年和腾讯电脑管家组成联队代表腾讯参加Pwn2Own夺得该赛事史上第一个Master of Pwn(破解大师)称号。在2015年和2016年获得由全球黑客奥斯卡之称的Blackhat Pwnie奖五项最佳提名。
