安迪兒隨手貼

安迪兒的筆記本

2010-03-27

Pwn2Own 2010駭客大會:多數瀏覽器、iPhone無一倖免

摘要:Pwn2Own 2010駭客大會:多數瀏覽器、iPhone無一倖免

引用:http://www.techbang.com.tw/?p=44769

 

PWN由安全研究機構TippingPoint DVLabs贊助的第4屆Pwn2Own 2010駭客大賽,從3月24日到26日為期三天,是駭客們大方公開拋頭露面的少數競賽!比賽項目為侵入網頁瀏覽器以及智慧型手機,駭客們順利攻破除了得到名譽外,還有獎金可拿,總計高達10萬美元。
 

IE 8、Firefox 3、Safari 4、iPhone順利被攻破

Pwn2Own競賽的首日成績已出爐,包括IE、Firefox及Safari瀏覽器皆無一倖免成功被攻陷,僅剩Chrome繼續獨撐大樑,這情形就如同去年Pwn20wn 2009駭客大賽一樣,Safari瀏覽器在比賽開始一分鐘不到即被攻破,IE、Firefox瀏覽器也都相繼沉淪,Chrome則是到比賽結束都未被攻破,希望今年Chrome瀏覽器同樣能堅持到最後。雖然今年IE 8瀏覽器也早早就被攻破,但微軟MSRC也在攻破12時內就對漏洞做出了反應,並預計在不久後提供安全性更新,這應該是一個好現象。

0805350350982776

▲第一天率先攻破IE 8瀏覽器的贏家Nils(圖左)。

08053822105516514

▲攻破Safari 4瀏覽器的Charlie Miller(圖左)。

08054141428348992

▲同時攻破Firefox 3和Safari 4瀏覽器的Julien Tinnes(圖左)。

在智慧型手機裝置方面,在比賽開始前就有駭客放話要iPhone好看,果然iPhone毫無懸念在比賽第一天即被攻破,沒讓大家失望,而Blackberry系統、Symbain S60、Android系統則尚未被攻破。攻破iPhone的駭客為32歲盧森堡大學博士研究員Ralf-Philipp Weinmann以及22歲資安公司員工Vincenzo Iozzo合作,利用特別設計的頁面以return-into-lib攻擊,繞過系統上程式碼簽章和數據執行保護機制,造成堆疊層的緩衝區溢位讓iPhone上的Safari瀏覽器崩潰,得以順利攻破iPhone最新3.1.3版本,取得簡訊資料庫、甚至是一些已刪除的簡訊。他們贏得1.5萬美元獎金、以及一支iPhone手機。

0801400679995222

▲成功攻破iPhone系統的Ralf-Philipp Weinmann和Vincenzo Iozzo。

這邊簡單介紹一下Pwn2Own比賽規則,比賽是由安全研究機構TippingPoint DVLabs贊助,目標是4大主流網頁瀏覽器,包含IE、Firefox、Chrome、Safari瀏覽器(Opera:哭哭),平台是在安裝安全更新的Windows 7作業系統下運行,Safari瀏覽器將在安裝蘋果Mac OS X 10.6雪豹作業系統下運作,順利攻破攻破一個主流瀏覽器便獎勵1萬美元,共4萬美元。為了增加比賽難度,參加駭客競賽的參賽者不准使用Adobe Flash等第三方外掛。這些第三方外掛一直都是作業系統中的安全弱項,破解專家Charlie Miller說只要瀏覽器裝有Java或 Adobe Flash,被駭簡直是稀鬆平常。

智慧型手機裝置也選了4大主流系統,分別是iPhone 3GS、RIM Blackberry黑莓機的Blod 9700、Nokia E72的Symbain S60、HTC Nexus One的Android系統,每成功攻擊一款手機便獎勵1.5萬美元,共6萬美元。

以下是DVLabs提供的比賽賽程、以及使用裝置,讓我們一起看看:

Day 1:

  • Microsoft Internet Explorer 8 on Windows 7
  • Mozilla Firefox 3 on Windows 7
  • Google Chrome 4 on Windows 7
  • Apple Safari 4 on MacOS X Snow Leopard

Day 2:

  • Microsoft Internet Explorer 7 on Windows Vista
  • Mozilla Firefox 3 on Windows Vista
  • Google Chrome 4 on Windows Vista
  • Apple Safari 4 on MacOS X Snow Leopard

Day 3:

  • Microsoft Internet Explorer 7 on Windows XP
  • Mozilla Firefox 3 on Windows XP
  • Google Chrome 4 on Windows XP
  • Apple Safari 4 on MacOS X Snow Leopard

電腦裝置:

  • Apple Macbook Pro 15″
  • HP Envy Beats 15″
  • Sony Vaio 13″
  • Alienware M11x

智慧型手機裝置:

  • Apple iPhone 3GS
  • RIM Blackberry Bold 9700
  • Nokia E72 device running Symbian
  • HTC Nexus One running Android

分類