IT業界資訊媒體

【Pwn2Own 黑客盛典】iPhone X、Galaxy S9 及小米6 被一舉攻破

世界頂級黑客大賽 Pwn2Own 2018 近日在東京 PacSec 安全會議舉行,為期兩日,邀請參賽黑客針對五款手機五款 IoT 裝置展開攻擊,堪稱「流動裝置屠殺現場」。iPhone XSamsung Galaxy S9 及小米 6 都難逃一劫,被黑客一舉攻破。

由白帽黑客 Richard Zhu Amat Cama 組成嘅團隊 Fluoroacetate 首先攻下小米 6,佢地用 touch-to-connect 功能開啟 web 瀏覽器,然後用 WebAssembly out-of-bounds 漏洞執行代碼,獲得 30,000 美元獎金。研究員 Michael Contreras 及來自英國的 MWR Labs 亦用不同方法入侵小米裝置。小米前前後後共被五次入侵,可話死傷慘重。

【Pwn2Own 黑客盛典】iPhone X、Galaxy S9 及小米6 被一舉攻破
Amat Cama (sitting) and Richard Zhu (white shirt) of the Fluoroacetate team

Samsung Galaxy S9 都唔好得去邊,Fluoroacetate 成功用 heap overflow 攻擊 S9 basebandMWR Labs 亦透過連結 captive portal,植入惡意程式破解 S9

全場最精彩莫過於 Fluoroacetate 破解 iOS 12.1 iPhone X,現場演示中,黑客首先用 iPhone X 連接惡意 WiFi,攻擊 just-in-time (JIT) 即時編譯漏洞,最後成功透過 Safari 訪問已刪除照片。

Team Fluoroacetate 搶足風頭,最終贏走 215,000 美金(約 170 萬港元),並獲「Master of Pwn」封號。

【Pwn2Own 黑客盛典】iPhone X、Galaxy S9 及小米6 被一舉攻破
Team Fluoroacetate 獲冠軍大獎

資料及圖片來源:https://bit.ly/2zWc1yi