摘要:Pwn2Own 2010駭客大會:多數瀏覽器、iPhone無一倖免
引用:http://www.techbang.com.tw/?p=44769
由安全研究機構TippingPoint DVLabs贊助的第4屆Pwn2Own 2010駭客大賽,從3月24日到26日為期三天,是駭客們大方公開拋頭露面的少數競賽!比賽項目為侵入網頁瀏覽器以及智慧型手機,駭客們順利攻破除了得到名譽外,還有獎金可拿,總計高達10萬美元。
IE 8、Firefox 3、Safari 4、iPhone順利被攻破
Pwn2Own競賽的首日成績已出爐,包括IE、Firefox及Safari瀏覽器皆無一倖免成功被攻陷,僅剩Chrome繼續獨撐大樑,這情形就如同去年Pwn20wn 2009駭客大賽一樣,Safari瀏覽器在比賽開始一分鐘不到即被攻破,IE、Firefox瀏覽器也都相繼沉淪,Chrome則是到比賽結束都未被攻破,希望今年Chrome瀏覽器同樣能堅持到最後。雖然今年IE 8瀏覽器也早早就被攻破,但微軟MSRC也在攻破12時內就對漏洞做出了反應,並預計在不久後提供安全性更新,這應該是一個好現象。
▲第一天率先攻破IE 8瀏覽器的贏家Nils(圖左)。
▲攻破Safari 4瀏覽器的Charlie Miller(圖左)。
▲同時攻破Firefox 3和Safari 4瀏覽器的Julien Tinnes(圖左)。
在智慧型手機裝置方面,在比賽開始前就有駭客放話要iPhone好看,果然iPhone毫無懸念在比賽第一天即被攻破,沒讓大家失望,而Blackberry系統、Symbain S60、Android系統則尚未被攻破。攻破iPhone的駭客為32歲盧森堡大學博士研究員Ralf-Philipp Weinmann以及22歲資安公司員工Vincenzo Iozzo合作,利用特別設計的頁面以return-into-lib攻擊,繞過系統上程式碼簽章和數據執行保護機制,造成堆疊層的緩衝區溢位讓iPhone上的Safari瀏覽器崩潰,得以順利攻破iPhone最新3.1.3版本,取得簡訊資料庫、甚至是一些已刪除的簡訊。他們贏得1.5萬美元獎金、以及一支iPhone手機。
▲成功攻破iPhone系統的Ralf-Philipp Weinmann和Vincenzo Iozzo。
這邊簡單介紹一下Pwn2Own比賽規則,比賽是由安全研究機構TippingPoint DVLabs贊助,目標是4大主流網頁瀏覽器,包含IE、Firefox、Chrome、Safari瀏覽器(Opera:哭哭),平台是在安裝安全更新的Windows 7作業系統下運行,Safari瀏覽器將在安裝蘋果Mac OS X 10.6雪豹作業系統下運作,順利攻破攻破一個主流瀏覽器便獎勵1萬美元,共4萬美元。為了增加比賽難度,參加駭客競賽的參賽者不准使用Adobe Flash等第三方外掛。這些第三方外掛一直都是作業系統中的安全弱項,破解專家Charlie Miller說只要瀏覽器裝有Java或 Adobe Flash,被駭簡直是稀鬆平常。
智慧型手機裝置也選了4大主流系統,分別是iPhone 3GS、RIM Blackberry黑莓機的Blod 9700、Nokia E72的Symbain S60、HTC Nexus One的Android系統,每成功攻擊一款手機便獎勵1.5萬美元,共6萬美元。
以下是DVLabs提供的比賽賽程、以及使用裝置,讓我們一起看看:
Day 1:
- Microsoft Internet Explorer 8 on Windows 7
- Mozilla Firefox 3 on Windows 7
- Google Chrome 4 on Windows 7
- Apple Safari 4 on MacOS X Snow Leopard
Day 2:
- Microsoft Internet Explorer 7 on Windows Vista
- Mozilla Firefox 3 on Windows Vista
- Google Chrome 4 on Windows Vista
- Apple Safari 4 on MacOS X Snow Leopard
Day 3:
- Microsoft Internet Explorer 7 on Windows XP
- Mozilla Firefox 3 on Windows XP
- Google Chrome 4 on Windows XP
- Apple Safari 4 on MacOS X Snow Leopard
電腦裝置:
- Apple Macbook Pro 15″
- HP Envy Beats 15″
- Sony Vaio 13″
- Alienware M11x
智慧型手機裝置:
- Apple iPhone 3GS
- RIM Blackberry Bold 9700
- Nokia E72 device running Symbian
- HTC Nexus One running Android