今年的移动Pwn2own破解大赛:iPhone+安卓=50万美元

移动Pwn2Own黑客大赛2016重装上阵,这次为安全研究人员奉上的,是25万美元的iPhone解锁奖励和25万美元的安卓手机破解奖金。

今年年初,惠普企业(HPE)将零日计划(ZDI)转手卖给了趋势科技,随着赞助商的转换,Pwn2Own大赛也经历了一些改组。Pwn2Own大赛浏览器版已于今年3月由惠普和趋势科技联手举办。将于10月举行的2016 移动Pwn2Own黑客大赛,则是首届没有HPE赞助的Pwn2Own。

趋势科技漏洞研究高级经理布莱恩·戈伦茨说:“对我们而言,这依然是Pwn2Own。我们总是希望每次大赛都给我们带来前所未见的新东西,但如果你已经见识过,其实大赛的本质总是相似的。”

温哥华 CanSecWest 大会举行的2016 Pwn2Own 浏览器大赛上,ZDI向公开演示Web浏览器新零日漏洞利用的研究人员派发了总计46万美元的奖金。

本次移动Pwn2Own将于10月26-27日在东京的PacSec安全大会上举行,奖金池总额高达50万美元。2016移动大赛,ZDI希望研究人员针对3种特定的移动设备:苹果 iPhone 6x,谷歌 Nexus 6p和三星 Galaxy Note7.

针对所有目标设备,ZDI给研究人员设置了几项挑战。第一项就是从设备获取敏感信息。谁能突破iPhone或谷歌Nexus,获取到这两种手机上的敏感信息,就能得到5万美元的奖励。能从三星Galaxy上获取敏感信息的研究人员将有3.5万美元的入账。

另一项挑战就是在目标设备上安装流氓应用。iPhone上安装可得12.5万美元奖励,谷歌Nexus上可得10万,三星Galaxy上可得6万。

大赛期间,每台手机的操作系统都会是最新的,会打上全部现有补丁。这或许会让ZDI的研究人员在大赛前加班更新手机,但让目标设备保持最新状态才有意义。

所有目标设备都会启用默认设置。对于iOS,这意味着Pwn2Own参赛者必须攻克Safari,因为Safari就是iOS的默认浏览器,也是该设备用户最常见最真实的使用场景。过去,Pwn2Own参赛者演示过许多WebKit浏览器渲染引擎相关的漏洞。WebKit就是Safari背后的核心渲染引擎,且有许多组件至今仍在谷歌Chrome里使用。

每次大赛的威胁态势都不一样,很难预测那个组件会被当做目标。WebKit很可能有露脸,但期待看到一些新的技术和研究。

对于流氓应用安装,ZDI没有特别的要求,留给参赛者在公开演示阶段充分展现创造力的空间。

解锁iPhone

本次Pwn2Own竞赛上最大的单项奖励,会授予成功解锁iPhone的研究人员。最近几个月,解锁iPhone一直是个热点话题。据称FBI花了130万美元才绕过IPhone锁屏。苹果公司自己的漏洞奖励项目设置了20万的奖金,安全公司 Exodus Intelligence 则会为iOS零日漏洞付出50万美元的奖金。

ZDI认为,为iPhone解锁漏洞拿出25万美元的奖励是比较合适的。达成iPhone解锁必然要付出大量的研究,这个数额的奖金不算太差。除了这笔钱,研究人员还会获得赢下Pwn2Own的业界认可。

市场才是最终决定25万美元的奖金是否公平的裁判。有人尝试公开解锁iPhone的前景还是很光明的。通过ZDI报告漏洞至少能让漏洞切实得到厂家的修复,比其他的选择要好。

本文转自d1net(转载)

时间: 2024-11-01 22:12:30

今年的移动Pwn2own破解大赛:iPhone+安卓=50万美元的相关文章

新一届Pwn2Own黑客大赛奖金将超50万美元

近日,HP TippingPoint公布,在一年两次的Pwn2Own 黑客大赛中,它将提供50万美元以上的奖金,用以奖励成功攻击四大主要浏览器和三个普通程序的安全专业人员,但需要他们上交工作成果.该公司公布这一竞争规则,让参赛者面临着 新的挑战,他们需要利用系统中未经报道的新漏洞来攻击Windows和Mac OS X系统.TippingPoint漏洞研究集团DVLabs漏洞研究主管Brian Gorenc表示,奖金总额高达56万美元,是为了尽可能吸引更多的参赛者. 获胜者需要对HP Tippin

非官方iPhone软件商店获400万用户年收入50万

北京时间8月7日早间消息,据国外媒体报道,非官方iPhone软件商店Cydia目前已拥有400万用户,在推出前5个月获得22万美元的毛营收,这相当于年收入50万美元. Cydia软件商店的运营者名为杰·弗里曼(Jay Freeman),他在iPhone破解社区中的昵称为索利克(Saurik).使用Cydia软件商店,用户需要首先对iPhone进行破解.该软件商店以销售被苹果App Store拒绝或禁止的软件而著称. 目前有400万用户安装了Cydia,大约为iPhone和iPod Touch用户

谷歌举办Chrome找漏洞大赛 悬赏100万美元

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 新浪科技讯 北京时间2月28日晚间消息,谷歌(微博)周一宣布,将在今年的Pwn2Own黑客大赛中悬赏100万美元,奖励能攻破Chrome浏览器的黑客.这一大赛将于下周在温哥华CanSecWest信息安全大会期间举行. 过去3年中,Chrome浏览器一直没有被黑客攻破,而其竞争对手火狐.IE和Safari在信息安全研究人员的攻击下均未能幸免.因

Pwn2Own黑客大赛战况:iPhone 20秒被黑

北京时间3月25日上午消息,据国外媒体报道,在网络安全大会CanSecWest周三举行的Pwn2Own黑客大赛中,两名欧洲黑客仅用20秒的时间便成功攻破iPhone,并拿走了1.5万美元奖金. 20秒黑掉iPhone 这两名黑客名为文森佐·埃奥佐(Vincenzo Iozzo)和拉尔夫·温曼(Ralf Weinmann).他们利用了一种尚未透露的方法对iPhone的Safari浏览器进行攻击,从而控制了iPhone,随后又运行了一个程序,将这款iPhone的短信发送到了一个网络服务器中. 据悉,

Pwn2Own战报:iPhone被攻破

温哥华Pwn2Own黑客大赛的第二天,前方又传来"捷报",苹果iPhone已经被著名黑客查理・米勒攻破,他成功越过了http://www.aliyun.com/zixun/aggregation/18258.html">手机内置的DEP特性,通过Safari获取到这台被攻击的iPhone上的电话本.被攻破的这台iPhone运行最新iOS 4.2.1系统,但4.3版本系统仍然无法被攻破. 在4.3版中,苹果加入了ASLR特性,再加上原有的DEP联合作用让黑客难以翻越.查理

Pwn2Own黑客大赛带来的两大安全警示

[51CTO.com独家翻译]本周CanSecWest安全大会在温哥华如期开幕,其中该盛会的内容包括年度Pwn2Own黑客大赛,安全研究人士将 纷纷展示自己的黑客技能,来实现入侵安装了最新补丁的系统.从往年的经历 来看,这些安全人士 往往有惊人之举.通过分析今年的黑客大赛,安全专家托尼•布拉德利(Tony Bradley)对用户 提出了两大安全警示.在今年的黑客大赛中,两名安全专家已经成功在数秒内实现了对全补丁版iPhone 3GS的入侵,这是iPhone 2.0首次被入侵.在过去两年中因攻破苹

Pwn2Own黑客大赛战况:iPhone20秒被黑

成功攻破iPhone的文森佐·埃奥佐和拉尔夫·温曼 北京时间3月25日上午消息,据国外媒体报道,在网络安全大会CanSecWest周三举行的Pwn2Own黑客大赛中,两名欧洲黑客仅用20秒的时间便成功攻破iPhone,并拿走了1.5万美元奖金. 20秒黑掉iPhone 这两名黑客名为文森佐·埃奥佐(Vincenzo Iozzo)和拉尔夫·温曼(Ralf Weinmann).他们利用了一种尚未透露的方法对iPhone的Safari浏览器进行攻击,从而控制了iPhone,随后又运行了一个程序,将这款

MacOSX 10.5.6系统不能破解苹果iPhone的解决方法

  苹果电脑MacOSX Leopard 10.5.6系统更新后,很多人抱怨10.5.6系统不能像10.5.5版系统那样顺利破解iPhone了.今天从威锋网ZT苹果电脑MacOSX Leopard 10.5.6系统不能破解苹果iPhone手机的解决方法 Mac OS X 10.5.6系统不能像10.5.5版系统那样顺利破解iPhone,因为更新使iPhone Dev Team的pwnage工具不能用了,系统无法访问DFU, 10.5.6系统就不能破解苹果iPhone手机. 解决方法就是:用管理员

网络安全公司长亭科技在Pwn2Own黑客大赛表现亮眼

在最近举办的第十届Pwn2Own黑客大赛上,有一只来自中国的年轻团队的表现非常亮眼. Pwn2Own是由Trend Micro主办的全球黑客大赛,参与者都是全球范围内的顶尖黑客.此次比赛共有11支来自全球的团队参与,中国有三支战队出征,分别来自腾讯.360和长亭科技. 长亭科技是国内一个成立时间不足三年的网络安全公司.由一群来自清华大学.浙江大学的顶尖技术人才组建,公司员工平均年龄极为年轻仅24岁. 据腾讯创业(微信公众号:qqchuangye)了解,长亭科技成立于2014年7月,是一家互联网安