Mobile Pwn2Own 2017落幕：发放奖金近50万

一年两次的黑客盛典 Pwn2Own 向来精彩不断，其中在11月举办的 Mobile Pwn2Own 则重点关注移动端设备的安全。

Mobile Pwn2Own 2017 大赛由趋势科技 Zero Day Initiative（ZDI）团队组织，作为第15届 PacSec2017（太平洋安全大会）的一个环节，于北京时间 11 月 1 日到 11 月 2 日在东京举行。据了解，Mobile Pwn2Own2017 是历届以来比赛项目最多、奖金最高、参赛团队规模最庞大的一次，吸引了来自北美、欧洲和以中国为主力的亚洲顶尖安全研究团队参赛。参加比赛的白帽子成功针对运行最新版本操作系统的主流智能手机进行攻击，累计获得 495000 美元的奖金。

12、窗口的“获得图像”、“获得语音”“蓝牙设置完毕”事件分别移动到相机、语音、蓝牙组件中，并重新定义了相关事件函数，请注意修改以前的源码。随着 pwn2own 黑客大赛的进行，级的黑客们将尝试寻找苹果、三星和华为手机中的漏洞，当然也包含谷歌的 pixel 手机。超级蓝牙黑客(blue tooth hacker)通过软件入侵别人的手机，然后控制他人手机想想觉得还挺有意思的——超级蓝牙黑客blue tooth hacker就是一款这样的软件，有点类似蓝牙的工具，它可以读取对方手机信息，电话本，关闭对面手机等等控制功能。

首日亮点

最近，补天漏洞平台发布了去年对白帽子的奖金数据。具体支持热门机型列举：三星gt-i9100,三星gt-i9220,三星gt-s5830,htc sensation (g14),htc desire hd（g10),htc one x,htc sensation x315e,小米 mi-one plus,中兴 v880,摩托罗拉mb525 defy,中兴u880,三星gt-i9108,联想a65,联想a60,华为 c8812，华为c8650，华为c8500，三星i909，zte n880e，酷派5860,索爱xperia arc s lt18i。”来自不同国家的漏洞平台，各自聚集着庞大的白帽子团队，补天平台注册白帽子数已经超过了3万名，美国的漏洞平台也已经给近万名白帽子发放过漏洞奖金。

ZDI 的博客写道：

Mobile Pwn2Own 2017 的第一天已经接近尾声，我们共发放了 35 万美元的奖金和 55 个 Pwn 赛点。首日一共有五起破解成功，两起破解失败，白帽子们在三星 Galaxy S8、iPhone 7 和华为Mate9 Pro 中一共挖掘出 11 个 bug。

看不到，点这里

腾讯科恩安全实验室虽然获得了总冠军，但他们的首日破解之路其实有些曲折2017华为收费主题破解。在针对三星 Galaxy S8 的浏览器进行破解时，由于无法在指定的时间内有效利用他们的 exploit 链，他们的破尝试最终失败。但幸运的是，他们在 iPhone 7 上成功演示了一个针对 Wi-Fi 的攻击2017华为收费主题破解。

由于破解成功，他们一共获得 6 万美元奖金；此外，他们总共利用了四个漏洞来获取代码执行权限，并提升权限以允许其设置的流氓软件在重新启动后持续存在，这些高难度操作也为他们赢得了额外的 5 万美元奖金。因此，在比赛首日，科恩实验室一共获得 11 万美元奖金和 11 个Pwn 赛点。

日前黑客smealum发最为丰厚的单项挑战——华为mate9 pro手机的基带破解。一般玩家对于无卡破解的理解，普遍指在a9之前出现“主题破解”，不过这里要解释一下，a9破解和主题破解都是指破解漏洞而已，不使用烧录卡直接运行cia游戏的方式都属于无卡破解，相比主题破解a9使用的漏洞的权限更高，所以使用上更省心。

第二天回顾

比赛第二天，MWR 实验室的专利用华为应用程序中的 5 个逻辑缺陷，逃离浏览器沙箱检测并获取数据，成功入侵 Mate 9 Pro 的 Chrome 浏览器，获得了 25,000 美元奖金。此外，他们还利用 6 个不同应用程序中的 11 个漏洞成功破解了 Galaxy S8 浏览器，触发远程执行任意代码，并强制引起敏感数据泄露。他们因此再次获得 25000 美元的奖金。

国内奇虎 360 安全团队针对 iPhone 7 的 Wi-Fi 组件破解获得部分成功，拿到 2 万美元奖金，随后因成功破解 iPhone 7 的 Safari 浏览器而获得 2.5 万美元奖金。

最终，腾讯科恩实验室将本届“Master of Pwn(世界破解大师)”收入囊中。

安全研究人员在发现该漏洞后，第一时间就把这一消息告知了各芯片厂商，但芯片厂商进行修复而且还要将补丁打入到不同手机的系统当中，所以修复该漏洞还是要一定的时间，当然用户和厂商都希望越早修复该漏洞。面对公众，“大虫”坚定地对新娘表达了“誓死不渝”的爱，10天后，两人即告分手，只是正式离婚手续多年之后才告完结。这个漏洞在上周末被发现目前还无任何补丁，安全公司secunia发现该安全漏洞之后已向公众进行了通报。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shumachanpin/article-101437-1.html