在周四于加拿大温哥华市举行的2011年Pwn2Own全球黑客大赛上,苹果iPhone 4和RIM黑莓(BlackBerry)Torch 9800手机相继被参赛者攻破,但运行谷歌Android以及微软Windows Phone 7(WP7)的手机当天因参赛者未现身而“固若金汤”。
曾多次参加Pwn2Own大 赛并获奖的黑客查理·米勒(Charlie Miller)与其队友迪翁·布拉扎基斯(Dion Blazakis)合作,当天在很短时间内攻破iPhone 4手机。米勒和布拉扎基斯两人都就职于美国安全咨询公司ISE。这也是米勒连续四次在Pwn2Own大赛上获奖。
米勒曾在2008年、2009年以及2010年Pwn2Own大赛上获奖。在此之前,还从未有参赛者在Pwn2Own大赛上连续四次获奖。在去年举行的Pwn2Own大赛上,米勒对一台苹果MacBook Pro笔记本发起攻击,并攻破该笔记本所预装Snow Leopard操作系统中的Safari浏览器。
米勒周四说:“在往年Pwn2Own大赛开始之前,我们已经找到了相应攻击目标的技术漏洞。但今年的情况却大为不同。在周四比赛开始前一天晚上,我们仍在寻 找iPhone 4的技术漏洞。虽然我们已为此准备了数月时间,但要攻破iPhone 4确实相当困难。”他还表示,在此次攻击iPhone 4过程中,布拉扎基斯功不可没。
Pwn2Own黑客大赛主办方 TippingPoint公司规定,参赛者不得对外透露他们所发现产品漏洞的任何技术细节,也不得擅自发布自己所使用的攻击代码。按照惯 例,TippingPoint将把参赛者所发现的漏洞反馈给相应厂商。在各厂商发布相应漏洞补丁程序之前,大会主办方和参赛者皆不得对外公布这些漏洞的详 细情况。
攻破黑莓
攻破黑莓Torch 9800手机的参赛队为一个国际三人组合,其成员分别为德国的文森佐·艾奥佐(Vincenzo Iozzo)、卢森堡的拉尔夫·韦恩曼(Ralf Weinmann)以及一位来自荷兰的技术开发人员。艾奥佐和韦恩曼曾参加2010年Pwn2Own大赛,并攻破iPhone 3GS手机。
曾为Pwn2Own大奖获得者、今年已担任Pwn2Own大赛评委的皮特·维莱格登希尔(Peter Vreugdenhil)表示,虽然米勒团队和艾奥佐团队在大赛开始前进行了艰苦的准备工作,但比赛正式开始后,这两个团队都仅用了数秒钟时间,就攻破了各自攻击目标。
米勒团队和艾奥佐团队将分别获得1.5万美元奖金,所攻破的智能手机也将归他们所有。
退出比赛
维莱格登希尔透露,在今年Pwn2Own大赛开始前,部分报名者决定向三星Nexus S手机(运行谷歌Android平台)以及戴尔Venue(运行WP7平台)发起攻击。但周四当天,三星Nexus S及戴尔Venue的攻击者皆没有来到比赛现场。
计 划向三星Nexus S发起攻击的技术人员乔恩·奥布赫德(Jon Oberheide)本周早些时候表示,他无法参加今年Pwn2Own大赛的原因是,他此前将自己发现的一个Android技术漏洞告知了谷歌,而谷歌一 周前修复了该漏洞,导致自己没能找到新的可利用漏洞。
另一名参赛者乔治·霍兹(George Hotz)则因正同索尼打官司而无法成行。他原本计划在今年Pwn2Own大赛上对WP7手机发起攻击。此前索尼对霍兹等人提起法律诉讼,原因是认为霍兹等人公布了如何实现对索尼PlayStation 3游戏机解锁的具体方式。
维莱格登希尔还表示,周四仍未被攻破的产品还包括火狐(Firefox)浏览器。参赛者山姆·达什(Sam Dash)在对火狐进行攻击后无功而返。在周三的Pwn2Own大赛上,苹果Safari 5和微软IE 8两款浏览器相继被攻破。
维莱格登希尔称,虽然离今年Pwn2Own大赛结束还有一天时间,但预计不会再有人站出来对未被攻破的浏览器和智能手机发起攻击。尽管如此,维莱格登希尔认为,今年Pwn2Own大赛取得了成功。
【编辑推荐】