騰訊科恩實驗室實力奪冠,再獲世界破解大師稱號
責編:mhshi |2016-10-27 10:05:0110月26日下午,世界黑客大賽Mobile Pwn2Own,結束最后一項爭奪。代表騰訊安全出戰的騰訊安全聯合實驗室旗下的科恩實驗室團隊表現驚艷,僅用時8秒攻破iOS10.1,10秒攻破Nexus 6p。值得一提的是,這兩次破解均是相應目標在全球范圍內首次被攻破。最終,騰訊科恩實驗室憑借總積分第一,獲得該項賽事“Master of Pwn”(破解大師)稱號。這也是繼2016年騰訊安全Sniper戰隊在黑客“世界杯”Pwn2Own獲得破解大師的稱號之后,華人再度奪此桂冠。
本屆Mobile Pwn2Own大賽著重關注移動操作系統、手機瀏覽器和手機應用的安全性問題。參賽團隊以iPhone6S、Nexus 6p、Galaxy S7為硬件目標,分別進行手機內部敏感信息獲取、給手機安裝惡意應用程序、固件及破解三個攻擊項目。
在第一項Nexus 6p app install挑戰中,騰訊科恩實驗室團隊作為首個亮相的參賽團隊,用時10秒便攻破Nexus 6p,輕松取得賽事開門紅。在隨后比賽中,騰訊科恩實驗室繼續保持穩定發揮,8秒攻破iPhone 6s,成功獲取iPhone 6s內部照片。最終,經過激烈的角逐,騰訊科恩實驗室團隊以總積分第一,獲得本屆Mobile Pwn2Own賽事冠軍。
相較于往屆,本屆Mobile Pwn2Own,在賽制上進行了改革,參賽團隊必須以最為困難的瀏覽器作為攻擊面進行挑戰,且整個挑戰過程限制在15分鐘內。另外,由于兩大移動平臺廠商Apple和Goolgle于近期相繼發布了安全性更高的最新版操作系統iOS 10以及Android 7.0,進一步增加了賽事難度。其中,iOS 10采用了更嚴格的沙盒策略,新的Safari瀏覽器使任意代碼執行變得更加困難。而谷歌旗下推出的智能機Nexus 6P在搭載了最新的Android Nougat之后,大規模的系統重構消滅和隔離了多個薄弱組件,并重新設計了權限分割系統。這些重要改變使得作為硬件目標的iPhone6S、Nexus 6p、Galaxy S7更難被攻破。但科恩實驗室最終還是憑借嫻熟的技戰術能力,技高一籌,力壓世界頂尖的安全團隊獲得冠軍。
騰訊科恩實驗室連續在世界頂級大賽中拔得頭籌的搶眼表現,在業內看來絕非偶然。在本屆Mobile Pwn2Own之前,不論是在美國黑帽大會,還是在Defcon CTF比賽中,騰訊科恩實驗室都已經向全球安全行業展示了自己的研究成果和攻防實力。尤其是在Defcon CTF賽事中,在有科恩實驗室成員助力的情況下,騰訊-0ops和blue-lotus組成的b1o0p戰隊,成功創造Defcon CTF賽事中國戰隊新的排名紀錄,取得亞洲第一的歷史最好成績。
除此之外,騰訊科恩實驗室在吳石的帶領下,通過漏洞挖掘和攻防實戰,不斷提升智能安全防御能力。今年9月,騰訊科恩實驗室成功在遠端侵入特斯拉公司的S型豪華電動車,揭露多項安全漏洞,并提交給特斯拉,這在全球尚屬首次。
騰訊科恩實驗室高級研究員陳良表示,像微軟、蘋果、谷歌這些科技巨頭的產品,用戶每天都會接觸到,一旦其漏洞被攻擊者利用,危害程度將難以估量,輕則隱私泄露,重則威脅到用戶的財產、人身安全。通過Mobile Pwn2Own這樣的賽事,及時挖掘漏洞,并將漏洞報告給廠商,有助于這些企業改進其產品的安全,保障廣大用戶的網絡安全。
據了解,騰訊科恩實驗室系國內首個互聯網安全實驗室矩陣、騰訊安全聯合實驗室旗下七大實驗室之一,與反病毒實驗室、反詐騙實驗室、移動安全實驗室、玄武實驗室、湛瀘實驗室、云鼎實驗室等六大實驗室一道,專注安全技術研究及安全攻防體系搭建。安全防范和保障范圍覆蓋了連接、系統、應用、信息、設備、云六大互聯網關鍵領域。