正在加拿大溫哥華進(jìn)行的Pwn2Own世界黑客大賽上，代表中國參賽的360安全戰(zhàn)隊(duì)轟動全場。在遠(yuǎn)程攻破蘋果Safari瀏覽器的比賽中，他們以一個(gè)MacOS里潛伏近30年的“骨灰級”漏洞獲得內(nèi)核ROOT權(quán)限，一舉贏得該項(xiàng)目滿分。目前，360在已經(jīng)參賽的Adobe Reader、Adobe Flash、蘋果MacOS和Safari四大項(xiàng)目中全部滿分奪冠，在大賽積分榜和獎金榜上雙雙排名榜首。

Pwn2Own官方積分榜：360排名榜首

360安全戰(zhàn)隊(duì)負(fù)責(zé)人鄭文彬介紹說，在Pwn2Own的歷史上，以往獲得蘋果MacOS內(nèi)核ROOT權(quán)限至少要使用兩個(gè)甚至更多的漏洞，但此次360安全戰(zhàn)隊(duì)使用的是MacOS早期版本就存在的機(jī)制級漏洞，僅用一個(gè)漏洞就獲得內(nèi)核ROOT權(quán)限。作為比賽裁判的蘋果公司安全負(fù)責(zé)人對此極為震驚，這也是迄今被發(fā)現(xiàn)影響時(shí)間最長的高危漏洞。

360安全戰(zhàn)隊(duì)在Pwn2Own大賽遠(yuǎn)程攻破蘋果Safari瀏覽器并獲得內(nèi)核ROOT權(quán)限

以封閉著稱的蘋果系統(tǒng)一直非常重視安全，每次版本升級時(shí)都會有針對性地修補(bǔ)漏洞，以確保系統(tǒng)達(dá)到最佳安全狀態(tài)。但是在頂級黑客的攻擊視野中，系統(tǒng)早期版本遺留下的代碼往往會暴露出令人意想不到的安全問題。

MacOS早期版本就存在的漏洞已潛伏近30年

鄭文彬介紹說，360在本屆黑客大賽中使用的所有漏洞細(xì)節(jié)和攻擊代碼都會第一時(shí)間提交給廠商官方，幫助蘋果、微軟和Adobe等系統(tǒng)和基礎(chǔ)軟件發(fā)現(xiàn)和修復(fù)漏洞，保護(hù)用戶更安全地上網(wǎng)。

根據(jù)Pwn2Own大賽規(guī)則，每支戰(zhàn)隊(duì)可以挑戰(zhàn)不同的比賽項(xiàng)目，總積分最高的戰(zhàn)隊(duì)將獲得“Master of Pwn”（破解大師）世界冠軍榮譽(yù)。在之前進(jìn)行的比賽中，360安全戰(zhàn)隊(duì)率先攻破了Adobe Reader和Adobe Flash，并獲得Flash項(xiàng)目的Windows系統(tǒng)最高權(quán)限加分。此后，360又在Pwn2Own上首次挑戰(zhàn)蘋果產(chǎn)品，先后攻破MacOS和Safari瀏覽器，再獲Safari項(xiàng)目的內(nèi)核ROOT權(quán)限加分，在已經(jīng)參賽的四大項(xiàng)目中全部獲得冠軍。

據(jù)悉，360安全戰(zhàn)隊(duì)以360安全衛(wèi)士攻防研究團(tuán)隊(duì)360Vulcan Team、360代碼衛(wèi)士和虛擬化研究團(tuán)隊(duì)360Marvel Team的成員為主，在此前Pwn2Own、PwnFest等世界黑客賽場上屢獲冠軍，創(chuàng)下了中國首次攻破Chorme、亞洲首次攻破IE、全球首次攻破VMware等一系列記錄。在2016年，360一共408次獲得國際廠商漏洞公告致謝，漏洞報(bào)告數(shù)量排名世界第一。

Pwn2Own是歷史最悠久的國際性黑客破解賽事，由美國五角大樓網(wǎng)絡(luò)安全服務(wù)商TippingPoint旗下的ZDI項(xiàng)目組主辦。今年正值Pwn2Own十周年，吸引了來自中國、德國、美國等國家的11支團(tuán)隊(duì)參賽，是規(guī)模最大、項(xiàng)目最多、獎金最高的黑客巔峰之戰(zhàn)。

針對中國團(tuán)隊(duì)在Pwn2Own大賽上的優(yōu)秀表現(xiàn)，賽事主辦方ZDI的負(fù)責(zé)人Dustin C. Childs表示，“360的表現(xiàn)非常出色和專業(yè)。現(xiàn)在，中國的黑客水平完全是世界頂級的。臺上或許只有幾秒鐘的破解時(shí)間，但臺下需要無數(shù)個(gè)小時(shí)的努力。我們希望通過Pwn2Own比賽，和各大團(tuán)隊(duì)、廠商一起持續(xù)改善產(chǎn)品安全，改善網(wǎng)絡(luò)安全”。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。