为期两天的 Mobile Pwn2Own2017 世界黑客大赛在日本东京落下帷幕,来自中国的腾讯安全科恩实验室战队(Tencent Keen Security Lab)获得总积分 44 分,以领先第二名 17 分的优势,在比赛第一天就提前锁定了总冠军,将第三座“Master of Pwn(世界破解大师)”奖杯收入囊中,成为全球首个三次获得该荣誉的安全研究团队,再次在世界舞台上证明了中国白帽黑客的实力。
腾讯安全科恩实验室战队第三次荣获“Master of Pwn(世界破解大师)”
连下三城 最高级别破解苹果 iOS 11,攻破最难单项
Pwn2Own 系列赛事每年 3 月、11 月分别在加拿大温哥华以及日本东京各举办一次,其中在 11 月举办的 Mobile Pwn2Own 重点关注移动端设备的安全。而 Mobile Pwn2Own2017 是历届以来比赛项目最多、奖金最高、参赛团队规模最庞大的一次,吸引来自北美、欧洲和以中国为主力的亚洲顶尖安全研究团队,针对谷歌、苹果、华为和三星等国际一流厂商的最新产品进行破解,总积分最高的团队会获得由比赛官方颁发的“世界破解大师”冠军奖杯。
在本届大赛上,腾讯安全科恩战队成功实现对苹果 iOS 11.1 最新操作系统下 WiFi 和 Safari 浏览器的破解,并完成手机重启后仍然保持攻破以及提取内核权限等高级别破解操作,获得赛事主办方的额外奖励。此外,腾讯安全科恩战队还选择挑战了本届赛事公认最难单项,利用堆栈溢出攻破了华为 Mate9 Pro 的基带,创下本届赛事单项 20 积分最高纪录,并以总积分 44 分占据 Mobile Pwn2Own2017 积分榜榜首,再次摘获“Master of Pwn(世界破解大师)”。
腾讯安全科恩实验室总监吕一平表示,本次比赛体现了科恩实验室在多个平台上安全研究的综合实力。通过 Mobile Pwn2Own 夺冠,腾讯安全不仅证明了中国在网络安全的技术实力已经达到世界领先水平,也将进一步协助推动各大厂商提升其产品的安全性。
据了解,作为全球顶级黑客大赛, Pwn2Own 旨在帮助全球各大厂商发现系统漏洞,完善产品安全性,攻击目标都是国际一流厂商,安全防护水准最好的移动终端设备。比赛中攻破目标利用的漏洞,都已经在赛后按照国际通用漏洞汇报机制报告给相关厂商,厂商也会尽快地发布安全补丁修复漏洞。
全球首个“三冠王”诞生 技术驱动安全升级
事实上,腾讯安全在互联网安全技术研究领域已经走在了世界前列,旗下拥有七大专注安全技术研究的顶尖实验室。作为亚洲最早参加 Pwn2Own 世界黑客大赛安全研究团队,在 2016 年 Pwn2Own 比赛上,腾讯安全科恩实验室就与腾讯电脑管家团队一起组成腾讯安全 Sniper 战队,摘取了华人首个“世界破解大师”。此后,腾讯安全科恩战队在 Mobile Pwn2Own2016 再次获得“Master of Pwn(世界破解大师)奖杯,成为全球首支蝉联“世界破解大师“称号的安全研究团队。而在 Pwn2Own 2017 比赛中,腾讯安全联合战队以 84 分总积分位列积分榜首。
除此之外,在 CTF 这项另一种展示白帽黑客技术能力的比拼上,腾讯安全同样表现不俗,DEF CON CTF2016 大赛上,在有科恩实验室成员助力的情况下,腾讯-0ops 和 blue-lotus 组成的 b1o0p 战队,成功创造 DEF CON CTF 赛事中国战队新的排名纪录,取得亚洲第一的历史最好成绩;而在 DEF CON CTF2017 上,由腾讯安全科恩实验室领衔,腾讯 eee 战队、上海交大 0ops 战队、复旦大学六星战队以及腾讯信息安全争霸赛(TCTF)新人赛冠军队浙江大学 AAA 战队组成的联合战队,在仅成立一年的情况下,就入围了总决赛,并一举拿下第三名的好成绩。
同样值得关注的是,腾讯安全科恩实验室在吴石的带领下,还专注前沿领域的网络攻防研究。2016 年 9 月,腾讯安全科恩实验室在全球首次成功实现无物理接触环境下远程操控特斯拉,揭露多项安全漏洞。特斯拉方面积极响应,在十天不到的时间内完成了系统更新。特斯拉首席执行官埃隆·马斯克对此亲自写信致谢。2017 年,科恩实验室再次发现特斯拉多个高危安全漏洞,并再次实现了其无物理接触远程攻击,能够在驻车模式和行驶模式下对特斯拉进行任意远程操控。特斯拉也连续两年授予腾讯安全科恩实验室“特斯拉安全研究名人堂”称号。
据了解,腾讯安全科恩实验室系国内首个互联网安全实验室矩阵、腾讯安全联合实验室旗下七大子实验室之一,与玄武实验室、湛泸实验室、云鼎实验室、反病毒实验室、反诈骗实验室、移动安全实验室等六大实验室一道,专注安全技术研究及安全攻防体系搭建。安全防范和保障范围覆盖了连接、系统、应用、信息、设备、云六大互联网关键领域。