10月26日下午,世界黑客大赛Mobile Pwn2Own,结束最后一项争夺。代表腾讯安全出战的腾讯安全联合实验室旗下的科恩实验室团队表现惊艳,仅用时8秒攻破iOS10.1,10秒攻破Nexus 6p。值得一提的是,这两次破解均是相应目标在全球范围内首次被攻破。最终,腾讯安全科恩实验室凭借总积分第一,获得该项赛事“Master of Pwn”(破解大师)称号。这也是继2016年腾讯安全Sniper战队在黑客“世界杯”Pwn2Own获得破解大师的称号之后,华人再度夺此桂冠。
本届Mobile Pwn2Own大赛着重关注移动操作系统、手机浏览器和手机应用的安全性问题。参赛团队以iPhone6S、Nexus 6p、Galaxy S7为硬件目标,分别进行手机内部敏感信息获取、给手机安装恶意应用程序、固件及破解三个攻击项目。
在第一项Nexus 6p app install挑战中,腾讯安全科恩实验室团队作为首个亮相的参赛团队,用时10秒便攻破Nexus 6p,轻松取得赛事开门红。在随后比赛中,腾讯安全科恩实验室继续保持稳定发挥,8秒攻破iPhone 6s,成功获取iPhone 6s内部照片。最终,经过激烈的角逐,腾讯安全科恩实验室团队以总积分第一,获得本届Mobile Pwn2Own赛事冠军。
相较于往届,本届Mobile Pwn2Own,在赛制上进行了改革,参赛团队必须以最为困难的浏览器作为攻击面进行挑战,且整个挑战过程限制在15分钟内。另外,由于两大移动平台厂商Apple和Goolgle于近期相继发布了安全性更高的最新版操作系统iOS 10以及Android 7.0,进一步增加了赛事难度。其中,iOS 10采用了更严格的沙盒策略,新的Safari浏览器使任意代码执行变得更加困难。而谷歌旗下推出的智能机Nexus 6P在搭载了最新的Android Nougat之后,大规模的系统重构消灭和隔离了多个薄弱组件,并重新设计了权限分割系统。这些重要改变使得作为硬件目标的iPhone6S、Nexus 6p、Galaxy S7更难被攻破。但科恩实验室最终还是凭借娴熟的技战术能力,技高一筹,力压世界顶尖的安全团队获得冠军。
腾讯安全科恩实验室连续在世界顶级大赛中拔得头筹的抢眼表现,在业内看来绝非偶然。在本届Mobile Pwn2Own之前,不论是在美国黑帽大会,还是在Defcon CTF比赛中,腾讯安全科恩实验室都已经向全球安全行业展示了自己的研究成果和攻防实力。尤其是在Defcon CTF赛事中,在有科恩实验室成员助力的情况下,腾讯-0ops和blue-lotus组成的b1o0p战队,成功创造Defcon CTF赛事中国战队新的排名纪录,取得亚洲第一的历史最好成绩。
除此之外,腾讯安全科恩实验室在吴石的带领下,通过漏洞挖掘和攻防实战,不断提升智能安全防御能力。今年9月,腾讯安全科恩实验室成功在远端侵入特斯拉公司的S型豪华电动车,揭露多项安全漏洞,并提交给特斯拉,这在全球尚属首次。
腾讯安全科恩实验室高级研究员陈良表示,像微软、苹果、谷歌这些科技巨头的产品,用户每天都会接触到,一旦其漏洞被攻击者利用,危害程度将难以估量,轻则隐私泄露,重则威胁到用户的财产、人身安全。通过Mobile Pwn2Own这样的赛事,及时挖掘漏洞,并将漏洞报告给厂商,有助于这些企业改进其产品的安全,保障广大用户的网络安全。
据了解,腾讯安全科恩实验室系国内首个互联网安全实验室矩阵、腾讯安全联合实验室旗下七大实验室之一,与反病毒实验室、反诈骗实验室、移动安全实验室、玄武实验室、湛泸实验室、云鼎实验室等六大实验室一道,专注安全技术研究及安全攻防体系搭建。安全防范和保障范围覆盖了连接、系统、应用、信息、设备、云六大互联网关键领域。