Google Pixel 2
三星Galaxy S9
Apple iPhone X
华为P20
小米Mi6
谁也没想到海外市场份额相对较少的小米 6却受到了最大的针对,五次被挑战无一失败。而Google Pixel 2以及华为 P20 却无人问津。
本次Pwn2Own Tokyo 2018 为期两天,有三组队伍参与挑战,根据规则,参赛选手需要利用浏览器、蓝牙、NFC、WI-FI、MMS/SMS或者基带的漏洞来对手机发起挑战。而挑战顺序由随机抽签决定,最终第一天安排了6项挑战,第二天有五项,总共11项挑战。
在第一天的行程中,一血就落在了小米6身上。Fluoroacetate的两名白帽,利用NFC 漏洞接管了小米6,通过一触式连接的特性,强制打开浏览器跳转到特定的网页。该页面利用WebAssembly 中越界写入在手机上执行代码。完成这项挑战,让他们获得30000美元的奖金以及6个积分。
Fluoroacetate在进行漏洞确认
而第二项挑战依然是针对小米6,MWR实验室利用五个不同的漏洞在小米6上成功执行代码。
第一天的行程中最终六项挑战无一失败,其中仅仅是小米6就已经被针对的三次,而三星S9的基带漏洞和WI-FI漏洞也让其沦陷两次,黑客利用WI-FI漏洞成功攻破了iPhone X。在积分榜上,Fluoroacetate 以31分的优势遥遥领先。
第二天剩下的五项挑战主要集中在小米6和iPhone X身上,小米 6依然在两次挑战中没能挡住黑客的攻击。而黑客对iPhone X的破解却没有第一天那么顺利了,三项跳转仅仅成功一了一项,其它均以失败告终。
唯一成功的一次依然来自于Fluoroacetate 团队,在iPhone X浏览器漏洞挑战中,他们利用越界权限成功从iPhone X中获取数据,再次斩获第二天的“一血”,获得50000美金奖励以及8个积分,继续扩大领先优势。
最终两天的比赛结束,Fluoroacetate 团队以 45个积分的绝对优势称为本届比赛的“Master of pwn”。
Pwn2Own Tokyo 2018 落下帷幕,小米6接受了最多的挑战,而且黑客的挑战没有一次失败,不知道会不会让用户对于小米手机的安全性产生质疑。不仅是Android 手机,包括iPhone 在内,可以看到的情况是,浏览器的安全问题依然是智能手机的最大隐患。
虽然Google Pixel 2和华为 P20 虽然没有被挑战,不意味着其安全问题就不存在。这一次,来自苹果、三星、谷歌、华为以及小米的代表都在Pwn2Own现场,关注自己产品被破解的情况,如果有需要他们也可以随时对白帽子发起提问。
此外,比赛结束后,相关的厂商均会收到本次比赛涉及的漏洞通知,给予90天的时间来修复漏洞,所以,相信不久之后,小米、苹果、三星都会及时发布漏洞补丁以完善自身产品的安全性。
