Pwn2Own 2010駭客大會:多數瀏覽器、iPhone無一倖免

Pwn2Own 2010駭客大會:多數瀏覽器、iPhone無一倖免

由安全研究機構TippingPoint DVLabs贊助的第4屆Pwn2Own 2010駭客大賽,從3月24日到26日為期三天,是駭客們大方公開拋頭露面的少數競賽!比賽項目為侵入網頁瀏覽器以及智慧型手機,駭客們順利攻破除了得到名譽外,還有獎金可拿,總計高達10萬美元。

IE 8、Firefox 3、Safari 4、iPhone順利被攻破

Pwn2Own競賽的首日成績已出爐,包括IE、Firefox及Safari瀏覽器皆無一倖免成功被攻陷,僅剩Chrome繼續獨撐大樑,這情形就如同去年Pwn20wn 2009駭客大賽一樣,Safari瀏覽器在比賽開始一分鐘不到即被攻破,IE、Firefox瀏覽器也都相繼沉淪,Chrome則是到比賽結束都未被攻破,希望今年Chrome瀏覽器同樣能堅持到最後。雖然今年IE 8瀏覽器也早早就被攻破,但微軟MSRC也在攻破12時內就對漏洞做出了反應,並預計在不久後提供安全性更新,這應該是一個好現象。

Pwn2Own 2010駭客大會:多數瀏覽器、iPhone無一倖免

▲第一天率先攻破IE 8瀏覽器的贏家Nils(圖左)。

Pwn2Own 2010駭客大會:多數瀏覽器、iPhone無一倖免

▲攻破Safari 4瀏覽器的Charlie Miller(圖左)。

Pwn2Own 2010駭客大會:多數瀏覽器、iPhone無一倖免

▲同時攻破Firefox 3和Safari 4瀏覽器的Julien Tinnes(圖左)。

在智慧型手機裝置方面,在比賽開始前就有駭客放話要iPhone好看,果然iPhone毫無懸念在比賽第一天即被攻破,沒讓大家失望,而Blackberry系統、Symbain S60、Android系統則尚未被攻破。攻破iPhone的駭客為32歲盧森堡大學博士研究員Ralf-Philipp Weinmann以及22歲資安公司員工Vincenzo Iozzo合作,利用特別設計的頁面以return-into-lib攻擊,繞過系統上程式碼簽章和數據執行保護機制,造成堆疊層的緩衝區溢位讓iPhone上的Safari瀏覽器崩潰,得以順利攻破iPhone最新3.1.3版本,取得簡訊資料庫、甚至是一些已刪除的簡訊。他們贏得1.5萬美元獎金、以及一支iPhone手機。

Pwn2Own 2010駭客大會:多數瀏覽器、iPhone無一倖免

▲成功攻破iPhone系統的Ralf-Philipp Weinmann和Vincenzo Iozzo。

這邊簡單介紹一下Pwn2Own比賽規則,比賽是由安全研究機構TippingPoint DVLabs贊助,目標是4大主流網頁瀏覽器,包含IE、Firefox、Chrome、Safari瀏覽器(Opera:哭哭),平台是在安裝安全更新的Windows 7作業系統下運行,Safari瀏覽器將在安裝蘋果Mac OS X 10.6雪豹作業系統下運作,順利攻破攻破一個主流瀏覽器便獎勵1萬美元,共4萬美元。為了增加比賽難度,參加駭客競賽的參賽者不准使用Adobe Flash等第三方外掛。這些第三方外掛一直都是作業系統中的安全弱項,破解專家Charlie Miller說只要瀏覽器裝有Java或 Adobe Flash,被駭簡直是稀鬆平常。

智慧型手機裝置也選了4大主流系統,分別是iPhone 3GS、RIM Blackberry黑莓機的Blod 9700、Nokia E72的Symbain S60、HTC Nexus One的Android系統,每成功攻擊一款手機便獎勵1.5萬美元,共6萬美元。

以下是DVLabs提供的比賽賽程、以及使用裝置,讓我們一起看看:

Day 1:

  • Microsoft Internet Explorer 8 on Windows 7
  • Mozilla Firefox 3 on Windows 7
  • Google Chrome 4 on Windows 7
  • Apple Safari 4 on MacOS X Snow Leopard

Day 2:

  • Microsoft Internet Explorer 7 on Windows Vista
  • Mozilla Firefox 3 on Windows Vista
  • Google Chrome 4 on Windows Vista
  • Apple Safari 4 on MacOS X Snow Leopard

Day 3:

  • Microsoft Internet Explorer 7 on Windows XP
  • Mozilla Firefox 3 on Windows XP
  • Google Chrome 4 on Windows XP
  • Apple Safari 4 on MacOS X Snow Leopard

電腦裝置:

  • Apple Macbook Pro 15″
  • HP Envy Beats 15″
  • Sony Vaio 13″
  • Alienware M11x

智慧型手機裝置:

  • Apple iPhone 3GS
  • RIM Blackberry Bold 9700
  • Nokia E72 device running Symbian
  • HTC Nexus One running Android
氣象部落客勞倫斯
作者

有一個都市傳說,只要勞倫斯猴買了新東西,就會下雨。

使用 Facebook 留言
22c03acfcd9023adcdd871738e758a26?size=48&default=wavatar
1.  Zionic (發表於 2010年3月25日 15:34)
我還以為會用Windows版的Safari 4
不過結果可能差不多=.=.....
94ea8bbd73c5bcded016aefe5ffb6a3d?size=48&default=wavatar
3.  范X蒍 (發表於 2010年3月25日 17:54)
這…我還能說什麼呢?
這些駭客太強啦XD
反觀那些被攻破瀏覽器和產品,這些開發商要好好反省了。
A5c39fcd13f9a23805505461d3ade5d8?size=48&default=wavatar
7.  liishygo (發表於 2010年3月26日 09:39)
前三張照片圖右那位帥哥是怎麼回事,坐他旁邊的人都能攻破,感覺好辛酸啊!
6aedf7a31e3d322b5d2e417b61dc0e66?size=48&default=wavatar
8.  EarlyCAT (發表於 2010年3月26日 10:50)
照片右那個應該是來確認攻破的吧...
不過 google 的確讚, Chrome 和 Android 都沒事耶!
8c1e01a8a59ea94470351c4430e1e9aa?size=48&default=wavatar
9.  PeterKanPC (發表於 2010年3月26日 18:21)
Chrome的Sandbox是“駭客們”逼出來的,當然攻不破啦!(笑)
不過有Sandbox加持,實力真強!
4639f824791f049ea42ef8f3cbe35b44?size=48&default=wavatar
10.  鄉民 (發表於 2010年3月26日 22:57)
我只看到了一個重點

"第三方外掛一直都是作業系統中的安全弱項,破解專家Charlie Miller說只要瀏覽器裝有Java或 Adobe Flash,被駭簡直是稀鬆平常。"

意思是說瀏覽器的工程師再怎麼補漏洞都沒啥鳥用

只要裝個Java或 Adobe Flash就破功了....
13ef58f9480fe4ab4bfdf7d5109da21e?size=48&default=wavatar
11.  Jacob (發表於 2010年3月26日 23:00)
>>HTC Nexus One running Android
應該是Google Nexus One running Android吧
Cc8fab603b11cab6ee972abade9afc21?size=48&default=wavatar
13.  晦暗小光 (發表於 2010年3月27日 02:57)
這個大會,會不會是個抓出駭客的誘餌....還是駭客人才招募大會?
0b79f14774a2772df73f3957e91c9a71?size=48&default=wavatar
14.  qfli (發表於 2010年3月27日 10:14)
Opera被忽略了..........
如果和Chrome PK 不知道那一家會勝出?
A2ef90b51aea93919b97cdf2e06ac492?size=48&default=wavatar
15.  Dirac (發表於 2010年3月27日 14:26)
只要瀏覽器裝有Java或 Adobe Flash,被駭簡直是稀鬆平常。


那90%以上的人被攻破都是稀鬆平常
D41d8cd98f00b204e9800998ecf8427e?size=48&default=wavatar
16.  A Blog with no Name (發表於 2010年3月28日 02:34)
最近瀏覽器相關新聞+使用率分佈統計...

IE: 61.4%Firefox: 29.1%Chrome: 3.8%Opera: 1.5%Netscape: 1%Safari: 0.5% 因為有 ......
D14557a09d2bd9ca75c548e1face0441?size=48&default=wavatar
17.  Tommy (發表於 2010年3月28日 11:59)
我好奇的是,為啥這些Hacker都是西方人?
大陸東方人應該也很多高手吧?
2ceb65898fc1610ce04a724d42e74694?size=48&default=wavatar
18.  Athrun (發表於 2010年3月28日 13:35)
>>應該是Google Nexus One running Android吧
沒差...反正這隻手機本來就是宏達電代工的

看到智慧型手機...Windows Mobile淚目XD
發表回應
謹慎發言,尊重彼此。按此展開留言規則