本周Mobile Pwn2Own黑客大赛在日本东京举行的PacSec安全大会期间开启。比赛邀请安全研究人员针对5款新手机及5款IoT设备展开攻击,总计送出了32.5万美元奖金,挖到了18个零日漏洞。
此次比赛的攻击目标包括苹果iPhone X、Google Pixel2、三星Galaxy S9、华为P20与小米Mi6等5款智能手机,以及Apple Watch Series 3、第二代Amazon Echo、Google Home、Nest Cam IQ Indoor与Amazon Cloud Cam安全摄像头等5款IoT设备。
不过今年只有3对团体参赛,包括由Amat Cama及Richard Zhu组成的Fluoroacetate,由Georgi Geshev、Fabi Beterke及Rob Miller组成的MWR Labs,以及单枪匹马上阵的Michael Contreras。
其中,Fluoroacetate在比赛首日就通过Wi-Fi拿下了iPhone X。他们利用Safari的JIT漏洞,以及另一个越界写入漏洞(Out-Of-Bounds write),成功在iPhone X上执行任意程序,抱走了6万美元的奖金。
其实不仅iPhone X,小米Mi6、三星Galaxy S9也都在第一天就被成功攻破。
有趣的是,虽然Mobile Pwn2Own比赛中攻破iPhone X与Pixel 2的奖金都是最高的,却没有团队去攻击Pixel 2。也许是因为Google自家提供的抓漏奖励项目比此次黑客大赛的奖金更丰厚吧。