騰訊技術團隊攻破華為安全防線 技術實力差距拉大
Pwn2Own黑客大賽由美國五角大樓網路安全服務商、趨勢科技旗下TippingPoint的項目組ZDI主辦,谷歌、微軟、蘋果、Adobe等互聯網和軟體巨頭都對比賽提供支持,旨在幫助全球各大廠商發現系統漏洞,完善產品安全性。
在今年的Mobile Pwn2Own2017上,參賽團隊主要針對蘋果iPhone 7、三星Galaxy S8、谷歌 Pixel和華為Mate 9 Pro四款主流產品進行破解,這些設備都將運行最新版的iOS或Android 系統,同時安裝了最新安全補丁。騰訊安全戰隊在該賽事表現出色,又一次在世界舞台上證明了中國"白帽"黑客的能力。
最難單項 騰訊黑客破解Mate9
據悉,華為Mate 9 Pro的基帶破解是本屆Mobile Pwn2Own2017難度最大、積分最多、獎金最為豐厚的單項挑戰,而騰訊安全科恩實驗室戰隊最終使用堆棧溢出完成破解,創下本屆賽事單項20積分最高紀錄。騰訊安全科恩實驗室總監呂一平表示,"華為手機的安全性本身就很高,能在Pwn2Own上被破解,是非常不容易的。"
而在針對蘋果iPhone 7手機Wi-Fi功能的破解項目中,騰訊安全科恩實驗室戰隊利用四個漏洞獲取了Wi-Fi的代碼執行許可權,並且在iPhone 7重啟之後仍然保持攻破,實現最高級別破解,獲得賽事主辦方的額外獎勵。
騰訊安全摘取"三冠王"
在本屆Mobile Pwn2Own賽事,騰訊安全科恩實驗室戰隊以總積分44分佔據榜首,再次摘獲"Master of Pwn(世界破解大師)",成為全球首個三次獲得該榮譽的安全研究團隊。此前在2016年Pwn2Own,以及Mobile Pwn2Own2016中,騰訊安全科恩實驗室戰隊蟬聯"世界破解大師"的稱號。
同樣值得關注的是,騰訊安全科恩實驗室還專註前沿領域的網路攻防研究。2016年9月,騰訊安全科恩實驗室全球首次成功實現無物理接觸環境下遠程操控特斯拉,揭露多項安全漏洞,特斯拉首席執行官埃隆·馬斯克對此親自寫信致謝。2017年,科恩實驗室再次發現特斯拉多個高危安全漏洞,並再次實現了其無物理接觸遠程攻擊,能夠在駐車模式和行駛模式下對特斯拉進行任意遠程操控。特斯拉也連續兩年授予騰訊安全科恩實驗室"特斯拉安全研究名人堂"稱號。
事實上,騰訊安全在互聯網安全技術研究領域已經走在世界前列,旗下擁有七大專註安全技術研究的頂尖實驗室。其中,騰訊安全科恩實驗室系國內首個互聯網安全實驗室矩陣,與玄武實驗室、湛瀘實驗室、雲鼎實驗室、反病毒實驗室、反詐騙實驗室、移動安全實驗室等六大實驗室一道,專註安全技術研究及安全攻防體系搭建。
在當今時代,用戶對手機的依賴要求廠商進一步聚焦智能手機安全問題,其中華為依靠華為雲、晶元安全等支持,打造了安全性遠超三星等廠商的手機系統。但Mate 9 Pro此次被破解,表明華為的安全技術之路任重道遠。好在比賽中攻破目標利用的漏洞已經提交給廠商,華為等廠商可以儘快修復漏洞,避免不法分子發現這些漏洞並給用戶造成損失。
