移動安全已經變得越發重要,因此也成爲了黑客們關注的重點。在剛剛結束的Pwn2Own Tokyo 2018 上,一羣黑客相繼對不同的手機發起了猛攻,最終,小米6 五次挑戰中均被攻破,此外iPhone X 和三星 S9也未能倖免於黑客攻擊。
在智能手機機型選擇上,本次舉辦方總共提供了以下五款機型:
Google Pixel 2 三星Galaxy S9 Apple iPhone X 華爲P20 小米Mi6
誰也沒想到海外市場份額相對較少的小米 6卻受到了最大的針對,五次被挑戰無一失敗。而Google Pixel 2以及華爲 P20 卻無人問津。
本次Pwn2Own Tokyo 2018 爲期兩天,有三組隊伍參與挑戰,根據規則,參賽選手需要利用瀏覽器、藍牙、NFC、WI-FI、MMS/SMS或者基帶的漏洞來對手機發起挑戰。而挑戰順序由隨機抽籤決定,最終第一天安排了6項挑戰,第二天有五項,總共11項挑戰。
在第一天的行程中,一血就落在了小米6身上。Fluoroacetate的兩名白帽,利用NFC 漏洞接管了小米6,通過一觸式連接的特性,強制打開瀏覽器跳轉到特定的網頁。該頁面利用WebAssembly 中越界寫入在手機上執行代碼。完成這項挑戰,讓他們獲得30000美元的獎金以及6個積分。
Fluoroacetate在進行漏洞確認
而第二項挑戰依然是針對小米6,MWR實驗室利用五個不同的漏洞在小米6上成功執行代碼。
第一天的行程中最終六項挑戰無一失敗,其中僅僅是小米6就已經被針對的三次,而三星S9的基帶漏洞和WI-FI漏洞也讓其淪陷兩次,黑客利用WI-FI漏洞成功攻破了iPhone X。在積分榜上,Fluoroacetate 以31分的優勢遙遙領先。
第二天剩下的五項挑戰主要集中在小米6和iPhone X身上,小米 6依然在兩次挑戰中沒能擋住黑客的攻擊。而黑客對iPhone X的破解卻沒有第一天那麼順利了,三項跳轉僅僅成功一了一項,其它均以失敗告終。
唯一成功的一次依然來自於Fluoroacetate 團隊,在iPhone X瀏覽器漏洞挑戰中,他們利用越界權限成功從iPhone X中獲取數據,再次斬獲第二天的“一血”,獲得50000美金獎勵以及8個積分,繼續擴大領先優勢。
最終兩天的比賽結束,Fluoroacetate 團隊以 45個積分的絕對優勢稱爲本屆比賽的“Master of pwn”。
Pwn2Own Tokyo 2018 落下帷幕,小米 6意外的接受了最多的挑戰。不僅是Android 手機,包括iPhone 在內,可以看到的情況是,瀏覽器的安全問題依然是智能手機的最大隱患。
雖然Google Pixel 2和華爲 P20 雖然沒有被挑戰,不意味着其安全問題就不存在。這一次,來自蘋果、三星、谷歌、華爲以及小米的代表都在Pwn2Own現場,關注自己產品被破解的情況,如果有需要他們也可以隨時對白帽子發起提問。
此外,比賽結束後,相關的廠商均會收到本次比賽涉及的漏洞通知,給予90天的時間來修復漏洞,所以,相信不久之後,小米、蘋果、三星都會及時發佈漏洞補丁以完善自身產品的安全性。
*本文作者:Andy.i,轉載請註明來自FreeBuf.COM