Pwn2Own Tokyo 2018：iPhone X、三星S9、小米6被逐个攻破

移动安全已经变得越发重要，因此也成为了黑客们关注的重点。在刚刚结束的Pwn2Own Tokyo 2018 上，一群黑客相继对不同的手机发起了猛攻，最终，小米6 五次挑战中均被攻破，此外iPhone X 和三星 S9也未能幸免于黑客攻击。

在智能手机机型选择上，本次举办方总共提供了以下五款机型：

Google Pixel 2 三星Galaxy S9 Apple iPhone X 华为P20 小米Mi6

谁也没想到海外市场份额相对较少的小米 6却受到了最大的针对，五次被挑战无一失败。而Google Pixel 2以及华为 P20 却无人问津。

本次Pwn2Own Tokyo 2018 为期两天，有三组队伍参与挑战，根据规则，参赛选手需要利用浏览器、蓝牙、NFC、WI-FI、MMS/SMS或者基带的漏洞来对手机发起挑战。而挑战顺序由随机抽签决定，最终第一天安排了6项挑战，第二天有五项，总共11项挑战。

在第一天的行程中，一血就落在了小米6身上。Fluoroacetate的两名白帽，利用NFC 漏洞接管了小米6，通过一触式连接的特性，强制打开浏览器跳转到特定的网页。该页面利用WebAssembly 中越界写入在手机上执行代码。完成这项挑战，让他们获得30000美元的奖金以及6个积分。

Fluoroacetate在进行漏洞确认

而第二项挑战依然是针对小米6，MWR实验室利用五个不同的漏洞在小米6上成功执行代码。

第一天的行程中最终六项挑战无一失败，其中仅仅是小米6就已经被针对的三次，而三星S9的基带漏洞和WI-FI漏洞也让其沦陷两次，黑客利用WI-FI漏洞成功攻破了iPhone X。在积分榜上，Fluoroacetate 以31分的优势遥遥领先。

第二天剩下的五项挑战主要集中在小米6和iPhone X身上，小米 6依然在两次挑战中没能挡住黑客的攻击。而黑客对iPhone X的破解却没有第一天那么顺利了，三项跳转仅仅成功一了一项，其它均以失败告终。

唯一成功的一次依然来自于Fluoroacetate 团队，在iPhone X浏览器漏洞挑战中，他们利用越界权限成功从iPhone X中获取数据，再次斩获第二天的“一血”，获得50000美金奖励以及8个积分，继续扩大领先优势。

最终两天的比赛结束，Fluoroacetate 团队以 45个积分的绝对优势称为本届比赛的“Master of pwn”。

Pwn2Own Tokyo 2018 落下帷幕，小米 6意外的接受了最多的挑战。不仅是Android 手机，包括iPhone 在内，可以看到的情况是，浏览器的安全问题依然是智能手机的最大隐患。

虽然Google Pixel 2和华为 P20 虽然没有被挑战，不意味着其安全问题就不存在。这一次，来自苹果、三星、谷歌、华为以及小米的代表都在Pwn2Own现场，关注自己产品被破解的情况，如果有需要他们也可以随时对白帽子发起提问。

此外，比赛结束后，相关的厂商均会收到本次比赛涉及的漏洞通知，给予90天的时间来修复漏洞，所以，相信不久之后，小米、苹果、三星都会及时发布漏洞补丁以完善自身产品的安全性。

*本文作者：Andy.i，转载请注明来自FreeBuf.COM