本月11日到12日,惠普在東京舉辦了其年度Mobile Pwn2Own大會(huì)。活動(dòng)的主要目的是希望安全研究人員、開發(fā)人員、以及黑客們通過(guò)某些此前未知的漏洞來(lái)侵入各種移動(dòng)設(shè)備,然后將之匯報(bào)給相應(yīng)的設(shè)備制造商,以便它們對(duì)這些漏洞進(jìn)行修補(bǔ)和修復(fù)。獎(jiǎng)金總額達(dá)到了42.5萬(wàn)美元(27.1萬(wàn)英鎊),只要有人能夠在30分鐘內(nèi)通過(guò)上述方式攻破手機(jī)并獲得全面的控制,就可以分走一杯羹。
包括蘋果iPhone 5s、黑莓Z30、亞馬遜Fire Phone、Google Nexus 7、三星Galaxy S5、以及LG Nexus 5等在內(nèi)的多款智能手機(jī)成為了參賽人員的上手目標(biāo)。
據(jù)BBC News報(bào)道,五支隊(duì)伍成功地利用了相關(guān)bug,并攻破了五臺(tái)設(shè)備。其中3隊(duì)獲得了利用NFC實(shí)現(xiàn)從手機(jī)中提取數(shù)據(jù),另兩隊(duì)則通過(guò)機(jī)器內(nèi)置的web瀏覽器下的手。
此外,部分安全經(jīng)驗(yàn)豐富的戰(zhàn)隊(duì)成功地侵入了Windows Phone和Android,但未能獲得全面的控制權(quán)。比如唯一向Windows Phone(一臺(tái)Lumia 1520)發(fā)起挑戰(zhàn)的Nico Joly,就是從該機(jī)默認(rèn)的IE瀏覽器著手的。
惠普表示:“他成功地提取到了cookie數(shù)據(jù)庫(kù),但由于沙箱的存在,他沒能獲得系統(tǒng)的完整控制權(quán)”。
另一位名叫Jüri Aedla的參賽者則通過(guò)Wi-Fi向一臺(tái)Nexus 5發(fā)起了挑戰(zhàn),但也未能進(jìn)一步提權(quán)。
本次活動(dòng)的獲勝者包括了來(lái)自英國(guó)的安全專家Adam Laurie、日本隊(duì)伍MBSD、以及南非的MWR InfoSecurity。通過(guò)舉辦這樣的活動(dòng),有望讓制造商在生產(chǎn)未來(lái)型號(hào)的手機(jī)時(shí),在安全性上多下點(diǎn)工夫。