今年的移动Pwn2own破解大赛:iPhone+安卓=50万美元

简介:

移动Pwn2Own黑客大赛2016重装上阵,这次为安全研究人员奉上的,是25万美元的iPhone解锁奖励和25万美元的安卓手机破解奖金。

今年年初,惠普企业(HPE)将零日计划(ZDI)转手卖给了趋势科技,随着赞助商的转换,Pwn2Own大赛也经历了一些改组。Pwn2Own大赛浏览器版已于今年3月由惠普和趋势科技联手举办。将于10月举行的2016 移动Pwn2Own黑客大赛,则是首届没有HPE赞助的Pwn2Own。

趋势科技漏洞研究高级经理布莱恩·戈伦茨说:“对我们而言,这依然是Pwn2Own。我们总是希望每次大赛都给我们带来前所未见的新东西,但如果你已经见识过,其实大赛的本质总是相似的。”

温哥华 CanSecWest 大会举行的2016 Pwn2Own 浏览器大赛上,ZDI向公开演示Web浏览器新零日漏洞利用的研究人员派发了总计46万美元的奖金。

本次移动Pwn2Own将于10月26-27日在东京的PacSec安全大会上举行,奖金池总额高达50万美元。2016移动大赛,ZDI希望研究人员针对3种特定的移动设备:苹果 iPhone 6x,谷歌 Nexus 6p和三星 Galaxy Note7.

针对所有目标设备,ZDI给研究人员设置了几项挑战。第一项就是从设备获取敏感信息。谁能突破iPhone或谷歌Nexus,获取到这两种手机上的敏感信息,就能得到5万美元的奖励。能从三星Galaxy上获取敏感信息的研究人员将有3.5万美元的入账。

另一项挑战就是在目标设备上安装流氓应用。iPhone上安装可得12.5万美元奖励,谷歌Nexus上可得10万,三星Galaxy上可得6万。

大赛期间,每台手机的操作系统都会是最新的,会打上全部现有补丁。这或许会让ZDI的研究人员在大赛前加班更新手机,但让目标设备保持最新状态才有意义。

所有目标设备都会启用默认设置。对于iOS,这意味着Pwn2Own参赛者必须攻克Safari,因为Safari就是iOS的默认浏览器,也是该设备用户最常见最真实的使用场景。过去,Pwn2Own参赛者演示过许多WebKit浏览器渲染引擎相关的漏洞。WebKit就是Safari背后的核心渲染引擎,且有许多组件至今仍在谷歌Chrome里使用。

每次大赛的威胁态势都不一样,很难预测那个组件会被当做目标。WebKit很可能有露脸,但期待看到一些新的技术和研究。

对于流氓应用安装,ZDI没有特别的要求,留给参赛者在公开演示阶段充分展现创造力的空间。

解锁iPhone

本次Pwn2Own竞赛上最大的单项奖励,会授予成功解锁iPhone的研究人员。最近几个月,解锁iPhone一直是个热点话题。据称FBI花了130万美元才绕过IPhone锁屏。苹果公司自己的漏洞奖励项目设置了20万的奖金,安全公司 Exodus Intelligence 则会为iOS零日漏洞付出50万美元的奖金。

ZDI认为,为iPhone解锁漏洞拿出25万美元的奖励是比较合适的。达成iPhone解锁必然要付出大量的研究,这个数额的奖金不算太差。除了这笔钱,研究人员还会获得赢下Pwn2Own的业界认可。

市场才是最终决定25万美元的奖金是否公平的裁判。有人尝试公开解锁iPhone的前景还是很光明的。通过ZDI报告漏洞至少能让漏洞切实得到厂家的修复,比其他的选择要好。

本文转自d1net(转载)

相关文章
|
小程序 Android开发 iOS开发
微信小程序-虚拟支付:适用场景 / iPhone调试用支付成功,Android调用失败,提示“小程序支付能力已被限制” / “errMsg“.“requestPayment:fail banned”
微信小程序-虚拟支付:适用场景 / iPhone调试用支付成功,Android调用失败,提示“小程序支付能力已被限制” / “errMsg“.“requestPayment:fail banned”
555 0
|
7月前
|
Shell Android开发
安卓逆向 -- 防抓包破解(JustTrustMe)
安卓逆向 -- 防抓包破解(JustTrustMe)
391 1
|
7月前
|
Android开发 iOS开发
未来即将上线 Android 版 “查找我的iPhone” ?
未来即将上线 Android 版 “查找我的iPhone” ?
179 0
|
Java 数据安全/隐私保护 Android开发
app逆向实战强化篇——破解某安卓APP请求加密参数
app逆向实战强化篇——破解某安卓APP请求加密参数
|
Java 开发工具 Android开发
安卓逆向系列篇:Dalvik概念&破解实例(二)
安卓逆向系列篇:Dalvik概念&破解实例
185 0
|
Java API Android开发
安卓逆向系列篇:Dalvik概念&破解实例(一)
安卓逆向系列篇:Dalvik概念&破解实例
188 0
|
编解码 安全 Android开发
AirServer2023专业的投屏软件,支持安卓、苹果手机投屏至电脑
AirServer一款专业的投屏软件,支持安卓、苹果手机投屏至电脑,畅享办公、教学、直播、会议、游戏、2K高清投屏详细的投屏教程让投屏更加简单,同时支持多设备投屏、不需要中间的转换设备,可以直接进行投屏,并且可以由用户自定义投屏图像的分辨率。AirServer可以保证文件传输的安全以及可靠!AirServer是一个Mac专用投屏工具,功能强大,并且可以通过网络和其他平台同步视频内容。可以使用多个设备进行投屏,快速查看同一局域网内的视频。支持的设备:苹果系统。支持 Windows、 Mac、 Android、 iOS、 windows平台。
309 0
|
存储 安全 Java
分析Android程序之破解第一个程序
分析Android程序之破解第一个程序
180 0
|
安全 Java Android开发
Android安全与逆向之简单破解APK方法
Android安全与逆向之简单破解APK方法
500 0
|
编解码 移动开发 Android开发
组件 web-view H5页面 安卓可以访问 ,苹果手机 部分机型,不能正常访问
小程序组件 web-view h5连接, 安卓可以正常访问,苹果部分机型不能访问,
组件 web-view H5页面 安卓可以访问 ,苹果手机 部分机型,不能正常访问