天创培训:您身边的信息安全培训专家!
行业动态
PWN2OWN 2018东京赛事首日多款热门手机“遭到”攻击

PWN2OWN 2018东京赛事首日多款热门手机“遭到”攻击

近日,在日本东京举行的Pwn2Own 2018年赛事中,苹果iPhone X、三星Galaxy S9和小米旗下的米6智能手机都遭到黑客攻击。

一个由Amat Cama和Richard Zhu组成的团队,他们自称为“fluoroacetate”,使用NFC漏洞攻击了米6。根据Pwn2Own的组织者发布的信息,他们利用了一个影响WebAssembly的越界写bug,通过NFC实现了代码的执行。研究人员从这次黑客攻击中赚取3万美元。

来自英国MWR实验室的Pwn2Own TokyoA团队也因破解米6而赚得3万美元。他们进行了两次尝试,最终成功地通过Wi-Fi演示破解了一个代码执行漏洞,从目标手机中窃取了一张照片。活动组织者指出,这个漏洞涉及到5个不同的逻辑错误,其中一个错误允许通过JavaScript静默安装应用程序。

另外,MWR实验室的还试图展示三星Galaxy S9的漏洞。白帽黑客在没有用户交互的情况下入侵了一个受控制的门户网站,利用不安全的重定向和不安全的应用程序加载bug,在手机上执行代码,这又为他们增加了3万美元进账。

fluoroacetate团队也演示了针对三星Galaxy S9的代码执行漏洞。该漏洞涉及到设备基带组件的堆溢出,研究人员因此赢得5万美元奖金。这一团队还利用Just-In-Time(JIT)错误和越界写入漏洞通过Wi-Fi破解了iPhone X。这令他们再次带走了奖池中的6万美元奖金。

最后,研究员Michael Contreras因破解了米6浏览器将2.5万美元归入囊中,他在破解过程中使用了一个JavaScript类型混淆缺陷来实现代码执行。

Pwn2Own 2018东京站的参与者在活动的第一天共赚得22.5万美元。这是第一次将物联网设备纳入赛事范围的Pwn2Own比赛,如Apple Watch, Amazon Echo,谷歌Home, Amazon Cloud Cam等。这些产品的奖金范围在4万至6万美元之间,相信接下来的赛事活动会更加精彩。