近日,在日本东京举行的Pwn2Own 2018年赛事中,苹果iPhone X、三星Galaxy S9和小米旗下的米6智能手机都遭到黑客攻击。
一个由Amat Cama和Richard Zhu组成的团队,他们自称为“fluoroacetate”,使用NFC漏洞攻击了米6。根据Pwn2Own的组织者发布的信息,他们利用了一个影响WebAssembly的越界写bug,通过NFC实现了代码的执行。研究人员从这次黑客攻击中赚取3万美元。
来自英国MWR实验室的Pwn2Own TokyoA团队也因破解米6而赚得3万美元。他们进行了两次尝试,最终成功地通过Wi-Fi演示破解了一个代码执行漏洞,从目标手机中窃取了一张照片。活动组织者指出,这个漏洞涉及到5个不同的逻辑错误,其中一个错误允许通过JavaScript静默安装应用程序。
另外,MWR实验室的还试图展示三星Galaxy S9的漏洞。白帽黑客在没有用户交互的情况下入侵了一个受控制的门户网站,利用不安全的重定向和不安全的应用程序加载bug,在手机上执行代码,这又为他们增加了3万美元进账。
fluoroacetate团队也演示了针对三星Galaxy S9的代码执行漏洞。该漏洞涉及到设备基带组件的堆溢出,研究人员因此赢得5万美元奖金。这一团队还利用Just-In-Time(JIT)错误和越界写入漏洞通过Wi-Fi破解了iPhone X。这令他们再次带走了奖池中的6万美元奖金。
最后,研究员Michael Contreras因破解了米6浏览器将2.5万美元归入囊中,他在破解过程中使用了一个JavaScript类型混淆缺陷来实现代码执行。
Pwn2Own 2018东京站的参与者在活动的第一天共赚得22.5万美元。这是第一次将物联网设备纳入赛事范围的Pwn2Own比赛,如Apple Watch, Amazon Echo,谷歌Home, Amazon Cloud Cam等。这些产品的奖金范围在4万至6万美元之间,相信接下来的赛事活动会更加精彩。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。