黑客大赛iPhone等旗舰沦陷 微软WP难以攻破？

11月14日消息周四，最新一期的MobilePwn2Own黑客大赛落下帷幕。这次很多黑客都在找WindowsPhone和安卓，但真正达到破解目标的只有一部分，尤其是WindowsPhone平台。

正如会议名称所表明的，本周的大部分活动都是针对“移动”移动设备，由HPZDI(Zero-DayInitiative)组织，主要是展示“Zero-Day”漏洞可以用来破解和完全控制设备。

第二天无奖金产生：WP沙盒难破

在今年Mobil开发者_StackOverflow社区ePwn2Own黑客大赛的最后一天，法国老牌安全公司Vupen的高级安全研究员NicoJoly选择在WindowsPhone平台攻击Lumia1520手机，试图通过网页浏览器漏洞彻底控制设备。

经过一番挑战，NicoJoly成功闯入了WindowsPhone上ie手机浏览器的cookie数据库，但令他惊讶的是，其安全沙盒机制让其无法完全控制设备。然而，能够做到这一点已经是一个壮举，因为通过Cookie，他可以访问设备所有者的各种在线帐户并进行修改。

在最后一天，另一个受到关注的黑客是于里亚德拉。他挑战了一款运行安卓系统的Nexus5手机，试图通过Wi-Fi直接攻击手机，并利用其DHCP漏洞远程执行代码。不幸的是，虽然他破解了入侵并远程启动了网络浏览器，但他无法提升更多权限并成功完全控制设备。

MobilePwn2Own的奖金由谷歌和黑莓提供。这一次总共是42500美元。它在日本东京举行。第二天，黑客因为两次失败都拿不到奖金。

黑客大赛第一天，所有挑战者都成功了

黑客大赛第一天，黑客就成功破解了一批旗舰设备，包括三星GalaxyS5、LGNexus5、苹果iPhone5S、AmazonFirePhone等。

NFC近场通信技术最终被黑客用作破解设备的媒介。来自南非MWRInfoSecurity和日本TeamMBSD团队的JonButler破解了三星GalaxyS5，而英国ApertureLabs团队的AdamLaurie成功破解了Nexus5。

至于iPhone，lokihardt@asrt黑客利用了两个漏洞，成功突破了内置图片浏览器Safari的保护层。亚马逊的FirePhone浏览器安全漏洞不仅被利用，还获得了完全的控制权。

总的来说，所有成功破解网络浏览器获得控制权的黑客都获得了5万美元的奖励，而基于NFC攻击的奖金略高，达到了7.5万美元。目前，这些黑客利用的漏洞已经按照竞赛规范公开。HPZDI核实确认后，会向产品受到影响的公司披露。