黑客大赛iPhone等旗舰沦陷 微软WP难以攻破?
11月14日消息周四,最新一期的MobilePwn2Own黑客大赛落下帷幕。这次很多黑客都在找WindowsPhone和安卓,但真正达到破解目标的只有一部分,尤其是WindowsPhone平台。
正如会议名称所表明的,本周的大部分活动都是针对“移动”移动设备,由HPZDI(Zero-DayInitiative)组织,主要是展示“Zero-Day”漏洞可以用来破解和完全控制设备。
第二天无奖金产生:WP沙盒难破
在今年Mobil开发者_StackOverflow社区ePwn2Own黑客大赛的最后一天,法国老牌安全公司Vupen的高级安全研究员NicoJoly选择在WindowsPhone平台攻击Lumia1520手机,试图通过网页浏览器漏洞彻底控制设备。
经过一番挑战,NicoJoly成功闯入了WindowsPhone上ie手机浏览器的cookie数据库,但令他惊讶的是,其安全沙盒机制让其无法完全控制设备。然而,能够做到这一点已经是一个壮举,因为通过Cookie,他可以访问设备所有者的各种在线帐户并进行修改。
在最后一天,另一个受到关注的黑客是于里亚德拉。他挑战了一款运行安卓系统的Nexus5手机,试图通过Wi-Fi直接攻击手机,并利用其DHCP漏洞远程执行代码。不幸的是,虽然他破解了入侵并远程启动了网络浏览器,但他无法提升更多权限并成功完全控制设备。
MobilePwn2Own的奖金由谷歌和黑莓提供。这一次总共是42500美元。它在日本东京举行。第二天,黑客因为两次失败都拿不到奖金。
黑客大赛第一天,所有挑战者都成功了
黑客大赛第一天,黑客就成功破解了一批旗舰设备,包括三星GalaxyS5、LGNexus5、苹果iPhone5S、AmazonFirePhone等。
NFC近场通信技术最终被黑客用作破解设备的媒介。来自南非MWRInfoSecurity和日本TeamMBSD团队的JonButler破解了三星GalaxyS5,而英国ApertureLabs团队的AdamLaurie成功破解了Nexus5。
至于iPhone,lokihardt@asrt黑客利用了两个漏洞,成功突破了内置图片浏览器Safari的保护层。亚马逊的FirePhone浏览器安全漏洞不仅被利用,还获得了完全的控制权。
总的来说,所有成功破解网络浏览器获得控制权的黑客都获得了5万美元的奖励,而基于NFC攻击的奖金略高,达到了7.5万美元。目前,这些黑客利用的漏洞已经按照竞赛规范公开。HPZDI核实确认后,会向产品受到影响的公司披露。
精彩评论