整理 | 祝濤
出品 | CSDN(ID:CSDNnews)
據報道,在第四屆“天府杯”國際網路安全大賽上,奇安盤古旗下盤古實驗室的白帽黑客slipper完成了iPhone 13 Pro的全球首次公開遠程越獄,取得手機最高控制權限,破解后可以任意獲取手機的資訊,包括相冊、App等,甚至可以直接洗掉設備上的資料,且整個破解程序只需1秒,成功斬獲包括“天府杯”在內的各類網路安全大賽歷史最高單項獎金30萬美元,
經過兩天的激烈角逐,10月17日,由華為、百度、阿里巴巴、清華大學、中科院資訊工程研究所、國家工業資訊安全發展研究中心、天融信、成都天投集團等主辦,中國網安、智聯招聘等協辦的“天府杯”2021國際網路安全大賽落下帷幕,“天府杯”國際網路安全大賽致力成為全球第一的破解比賽,面向所有安全從業人員公開征集參賽選手與參賽專案,大賽共設立150萬美元的獎金,包含PC端、移動端與服務器端三大項,以及虛擬化軟體、作業系統軟體、瀏覽器軟體、辦公軟體、移動智能終端、Web服務及應用軟體、DNS 服務軟體、共享管理類服務軟體等八大類別,本次比賽吸引了50多支戰隊,200多名隊員報名參賽,
針對蘋果手機最新機型iPhone 13 Pro的破解,稱得上是本屆天府杯期間最受關注和獎金最高的破解專案,據參賽者slipper介紹,當用戶點擊攻擊者精心偽造的一個鏈接之后,即可觸發Safari瀏覽器遠程代碼執行漏洞,使得攻擊者可以遠程執行攻擊命令,
在繞過Safari瀏覽器防護機制之后,slipper再次利用了iOS15內核以及A15芯片的多個漏洞進行了組合攻擊,成功繞過了多項安全防護機制,取得了iPhone 13 Pro最高控制權,可以隨意獲取資訊,包括相冊、APP等,甚至可以直接洗掉設備上的資料或者執行其他任意命令,
值得注意的是,盡管在整個破解程序中,slipper利用了Safari瀏覽器以及iOS內核等多個漏洞進行組合攻擊,但這個攻擊的觸發方式非常簡單,僅僅只需要用戶點擊一個鏈接,整個破解程序僅需1秒鐘,對用戶危害極大,從iPhone 4到iPhone 13系列機型,從iOS 7到iOS 15,依托于多年的移動安全實戰攻防能力和經驗,盤古實驗室一直保持著第一時間攻破的能力,
這次大賽中,奇安盤古獲得最具價值產品破解獎以及最佳產品破解獎二等獎,值得一提的是,在這次大賽中獲得最佳產品破解獎一等獎的“昆侖實驗室”相繼攻破了Chrome、Adobe PDF Reader和Windows 10,昆侖實驗室實作了Chrome瀏覽遠程URL,并控制瀏覽器或系統,此外,昆侖實驗室僅僅用了6秒時間,就成功攻破Windows 10,
在上周,蘋果曾公開強調自己相比安卓有多么安全,引援報告稱安卓設備惡意軟體感染率是iPhone的15~47倍,如今的比賽結果一出,有網友評論道:“蘋果比安卓安全47倍,破解起來也快47倍?”你怎么看呢?
參考鏈接:
- https://www.topsec.com.cn/hd/TFB.html
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/323352.html
標籤:其他
上一篇:CTF逆向總結(一)
下一篇:自學編程靠譜嗎?