本月12日至13日,在日本东京举行的Pwn2Own2014移动破解竞赛上,研究人员破解了几款目前最流行的智能手机,包括苹果的iPhone 5s,三星的Galaxy S5,谷歌的Nexus 5,和亚马逊的Fire Phone。
此 次大赛的组织方为“惠普0day计划”,黑莓和谷歌安卓安全团队提供资助,破解对象为亚马逊的Fire Phone,苹果的iPhone 5s和iPad Mini,黑莓Z30,谷歌的Nexus 5和Nexus 7,诺基亚的Lumia 1520,三星的Galaxy S5。
此次竞赛准备了42.5万美元的现金做为奖励,iPhone 5s于比赛第一天,被韩国队lokihardt@ASRT拿下,他们利用两个漏洞,通过Safari浏览器躲开了沙盒机制。
第二天,日本队MBSD攻破了三星Galaxy S5,他们使用近场通信(NFC)攻击触发了三星手机中特定代码的解串。来自南非MWR信息安全小组的Jon Butler也同样通过NFC破解了Galaxy S5。
来自英国“孔径实验室”的研究人员亚当·劳瑞同样利用NFC破解了Nexus 5。
“针对Nexus 5的近场通信功能的漏洞利用证明,可以强迫两部手机进行蓝牙配对”--Shannon Sabens 惠普高级安全内容开发员
南非MWR信息安全小组的另外3位研究人员利用3个漏洞攻破了亚马逊Fire Phone的浏览器。
法国VUPEN小组的Nico Joly试图搞定诺基亚Lumia 1520的cookie数据库,但沙盒机制阻止了他对系统的完全控制权。爱沙尼亚的Juri Aedla利用Wifi攻击Nexus 5,但在提权时失败。
所有的漏洞利用将私下披露给受影响的厂商,但惠普承诺数星期后将公开细节。
---
要闻、干货、原创、专业
关注“信息安全知识”
我们是安全牛!