圖片來源: 

zerodayinitiative

趨勢科技旗下的漏洞懸賞計畫ZDI(Zero Day Initiative,ZDI)本周隨著在日本東京舉行的PacSec安全會議於周二(11/13)及周三(11/14)進行為期兩天的Mobile Pwn2Own駭客競賽,邀請安全研究人員針對5款新手機及5款IoT裝置展開攻擊,總計送出了32.5萬美元的獎金,得到18個零時差攻擊程式。

此次競賽的攻擊目標包括Google Pixel2、Samsung Galaxy S9、Apple iPhone X、Huawei P20與Xiaomi Mi6等5款智慧型手機,以及Apple Watch Series 3、第二代 Amazon Echo、Google Home、Nest Cam IQ Indoor與Amazon Cloud Cam Security Camera等5款IoT裝置。

但今年只有3組人馬參賽,包括由Amat Cama及Richard Zhu組成的 Fluoroacetate,由Georgi Geshev、Fabi Beterke及Rob Miller組成的 MWR Labs,以及單槍匹馬上陣的Michael Contreras。

其中,Fluoroacetate在首日就透過Wi-Fi攻陷了iPhone X,他們利用Safari的JIT漏洞,以及另一個越界寫入漏洞(Out-Of-Bounds write),成功於iPhone X上執行任意程式,抱走了6萬美元的獎金。

其實不只是iPhone X, Xiaomi Mi6、Samsung Galaxy S9也都在首日就成功遭到入侵。

令人好奇的是,Mobile Pwn2Own競賽中,攻陷iPhone X與Pixel 2的獎金都是最高的,卻無團隊企圖攻擊Pixel 2,猜測也許是因Google自行祭出的抓漏獎勵專案更吸引人所致。

ZDI表示,他們將在驗證這些零時差攻擊程式之後,再提報給業者進行修補。


Advertisement

更多 iThome相關內容