Pwn2Own Tokyo 2018:iPhone X、三星S9、小米6被逐个攻破

移动安全已经变得越发重要,因此也成为了黑客们关注的重点。在刚刚结束的Pwn2Own Tokyo 2018 上,一群黑客相继对不同的手机发起了猛攻,最终,小米6 五次挑战中均被攻破,此外iPhone X 和三星 S9也未能幸免于黑客攻击。

在智能手机机型选择上,本次举办方总共提供了以下五款机型:

Google Pixel 2 三星Galaxy S9 Apple iPhone X 华为P20 小米Mi6

谁也没想到海外市场份额相对较少的小米 6却受到了最大的针对,五次被挑战无一失败。而Google Pixel 2以及华为 P20 却无人问津。

本次Pwn2Own Tokyo 2018 为期两天,有三组队伍参与挑战,根据规则,参赛选手需要利用浏览器、蓝牙、NFC、WI-FI、MMS/SMS或者基带的漏洞来对手机发起挑战。而挑战顺序由随机抽签决定,最终第一天安排了6项挑战,第二天有五项,总共11项挑战。

在第一天的行程中,一血就落在了小米6身上。Fluoroacetate的两名白帽,利用NFC 漏洞接管了小米6,通过一触式连接的特性,强制打开浏览器跳转到特定的网页。该页面利用WebAssembly 中越界写入在手机上执行代码。完成这项挑战,让他们获得30000美元的奖金以及6个积分。

Fluoroacetate在进行漏洞确认

而第二项挑战依然是针对小米6,MWR实验室利用五个不同的漏洞在小米6上成功执行代码。

第一天的行程中最终六项挑战无一失败,其中仅仅是小米6就已经被针对的三次,而三星S9的基带漏洞和WI-FI漏洞也让其沦陷两次,黑客利用WI-FI漏洞成功攻破了iPhone X。在积分榜上,Fluoroacetate 以31分的优势遥遥领先。

第二天剩下的五项挑战主要集中在小米6和iPhone X身上,小米 6依然在两次挑战中没能挡住黑客的攻击。而黑客对iPhone X的破解却没有第一天那么顺利了,三项跳转仅仅成功一了一项,其它均以失败告终。

唯一成功的一次依然来自于Fluoroacetate 团队,在iPhone X浏览器漏洞挑战中,他们利用越界权限成功从iPhone X中获取数据,再次斩获第二天的“一血”,获得50000美金奖励以及8个积分,继续扩大领先优势。

最终两天的比赛结束,Fluoroacetate 团队以 45个积分的绝对优势称为本届比赛的“Master of pwn”。

Pwn2Own Tokyo 2018 落下帷幕,小米 6意外的接受了最多的挑战。不仅是Android 手机,包括iPhone 在内,可以看到的情况是,浏览器的安全问题依然是智能手机的最大隐患。

虽然Google Pixel 2和华为 P20 虽然没有被挑战,不意味着其安全问题就不存在。这一次,来自苹果、三星、谷歌、华为以及小米的代表都在Pwn2Own现场,关注自己产品被破解的情况,如果有需要他们也可以随时对白帽子发起提问。

此外,比赛结束后,相关的厂商均会收到本次比赛涉及的漏洞通知,给予90天的时间来修复漏洞,所以,相信不久之后,小米、苹果、三星都会及时发布漏洞补丁以完善自身产品的安全性。

*本文作者:Andy.i,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-11-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Python爬虫与数据挖掘

王者程序员整理的Python网络爬虫和web的系统学习路线图

最近很多小伙伴找小编咨询,如何系统的学习Python?相信这个论题应该困扰了许多想学习Python的人,今天小编给大家讲一下一个零根底的小白,应...

16110
来自专栏VRPinea

12.11 VR扫描:《玩家一号》发布最新预告片,又一波怀旧梗

36160
来自专栏VRPinea

钢琴私教请不起?Music Everywhere为你量身定制专属课程

290110
来自专栏从流域到海域

可穿戴物联网设备能够在恶劣的环境中保护人身安全

原文地址:https://internetofthingsagenda.techtarget.com/blog/IoT-Agenda/Wearable-IoT-...

30580
来自专栏罗超频道

智能手机操作系统混战:看似扑朔迷离实则大局已定

基于昨天的Super快报,Super昨晚赶制了一篇博文(弄到2点早晨飞机误点了),明天虎嗅会发。因今天在北京出差,没时间整理Super快报,就先发这篇文...

283120
来自专栏新智元

助你成为论文大神!IEEE官方指南:如何为技术期刊和会议撰写文章

作为一名研究员或执业工程师,你深知把自己的工作成果予以发表有多重要。发表成果不仅关系到职业晋升或获得外界认可,也是科研流程中的关键一步。你的发现将会推动创新,并...

18430
来自专栏机器人网

图解202米蛇形机器人

该机器人是由短的部件,通过电缆链接的刚性管和制动器,最长有202米长。这个蛇形机器人是由电缆链接每个关节的电机和制动器,由机器人的基座进行控制操作。该机器人具有...

28470
来自专栏VRPinea

Exelus推出Nomadeec,或可利用Holoens实现远程医疗

32780
来自专栏机器人网

细数无人机的幕后功臣:开源飞控流派全揭秘

无人机能被快速普及,很大程度上是得益于开源飞控的发展,因为困扰着无人机发展的关键设备是自动驾驶仪。那么,开源飞控是什么?又是如何发展过来的? 在纷繁复杂的无人机...

92730
来自专栏IT派

帮程序员减压放松的 10 个良心网站

IT派 - {技术青年圈} 持续关注互联网、大数据、人工智能领域 同学们工作之余,不妨放下微博跟朋友圈,来这10个网站感受一下看着就醉了的情境:「念完往上一...

38850

扫码关注云+社区

领取腾讯云代金券