Pwn2Own 2010 競賽,Safari以及iPhone已經被攻破

Pwn2Own是在駭客界一年一度的大盛會,

在這個活動當中,各方人馬不但可以互相較勁,

並且每攻破一個產品,就可以獲得5000美金,還可以把該產品帶回家。

 

Pwn2Own大賽主要是破解各系統中的瀏覽器,還有各家的手機系統為主。

而去年的大賽當中,Safari(Mac版)在10秒之內被攻破,

之後Firefox、IE8相繼淪陷,但是Chrome到最後仍然是唯一的悻存者。

手機方面,不管是黑莓、iPhone、Android、Symbian 與WM統統沒被攻破。

 

 

而今年的比賽,在第一天,雖然Apple在日前釋出了Safari 4.0.5來修復漏洞,

但是Safari仍然是「拔得頭籌」,不到一分鐘就被破解,

破解Safari的同樣是去年的冠軍:Charlie Miller,

雖然他很快破解了Safari,但是根據他去年的說法,他還是建議大家使用Safari或Chrome,

因為這些漏洞是他研究很久才有的結果,如果是一般情況的話,Safari不會這麼容易攻破。

Chrome方面,因為Chrome有特殊的「沙盒」保護機制,這個額外的保護就是Chrome之所以很難攻破的原因。

▲圖片左方的就是Charlie Miller

 

 

另外,今年參賽的手機有iPhone 3GS (3.1.3) 、Blackberry 9700、Nokia E72 (Symbian)、Nexus One,

不過這次iPhone可以說是慘敗,攻破iPhone的駭客,

利用設計好的頁面攻擊方式,繞過簽章等保護機制,

造成緩衝區溢位,最後在20秒之內,使得Safari掛掉,並這樣順利取得簡訊資料庫。

他們這樣共贏得了15000元的美金,以及被他們破解的iPhone 3GS。

 

此外,大會還有規定,破解不可以針對瀏覽器的外掛,

因為這些外掛一直都是各個OS中的安全漏洞所在,Charlie Miller就說過,只要瀏覽器裝了Java或Flash,被駭簡直是稀鬆平常。

嗯...Flash最近真的是越來越不變看好了...

發佈留言