北京時(shí)間11月1日上午，第六屆移動(dòng)Pwn2Own黑客大會(huì)于在東京PacSec安全會(huì)議開幕，來自360安全戰(zhàn)隊(duì)的龔廣在第一場破解項(xiàng)目中獲勝，首個(gè)利用瀏覽器攻破三星Galaxy S8，同時(shí)也是本屆黑客大會(huì)第一個(gè)攻破瀏覽器的白帽黑客。                                   

據(jù)了解，龔廣此次利用瀏覽器漏洞實(shí)現(xiàn)了對三星Galaxy S8的完全控制，能夠讀取手機(jī)里的文件，安裝任意應(yīng)用。本項(xiàng)破解賽事的成功也意味著360安全戰(zhàn)隊(duì)代表中國在破解國外品牌手機(jī)中拿到一血。本次大賽的破解項(xiàng)目與以往有些不同，以破解Galaxy S8為例，并不是簡單的破解進(jìn)入就可以，而是在破解后能夠更長時(shí)間的完全控制手機(jī)，甚至重啟之后依然有效，這對參賽的白帽子無疑是更高層次的挑戰(zhàn)。

對于龔廣來說，在知名黑客大賽中拿“一血”似乎成為家常便飯。龔廣曾創(chuàng)造了一年時(shí)間內(nèi)在國際四大知名黑客比賽（Mobile Pwn2Own2015、Pwn0rama2016、Pwn2Own 2016、PwnFest2016）中贏得大滿貫的業(yè)內(nèi)傳奇，創(chuàng)造了多次全球首個(gè)成功攻破谷歌親兒子——Nexus系列手機(jī)的記錄。

看似理所當(dāng)然的成績背后，是白帽黑客對移動(dòng)安全的執(zhí)著與鉆研。龔廣在360公司工作多年，集中于移動(dòng)安全領(lǐng)域的研究，重在Android系統(tǒng)漏洞的挖掘與利用。他所在的360 Alpha Team已經(jīng)是谷歌致謝榜上的“?？汀?，截止今年10月累計(jì)發(fā)現(xiàn)了74個(gè)安卓系統(tǒng)漏洞。已多次收獲谷歌賞金激勵(lì)的龔廣，還獲得了安卓系統(tǒng)“賞金獵人”的稱號?！拔覀冊谂c谷歌的上千臺(tái)‘機(jī)器大軍’對抗中找到漏洞，就是希望每個(gè)人上網(wǎng)都變得更安全。”龔廣表示。

今年3月的Pwn2Own世界黑客賽場上，中國擊敗美、德等老牌黑客強(qiáng)國而奪冠。在這場象征黑客最高榮譽(yù)的比賽中，360安全戰(zhàn)隊(duì)代表中國捧回了"Master of Pwn"的總冠軍獎(jiǎng)杯，還成功實(shí)現(xiàn)了對Edge Win10 VMware的連環(huán)三殺破解，創(chuàng)造了Pwn2Own史上最高難度破解的紀(jì)錄。

本屆移動(dòng)Pwn2Own黑客大會(huì)是Trend Micro Zero Day計(jì)劃的一部分，Zero Day計(jì)劃特地提供安全人員獎(jiǎng)勵(lì)，想要獲得獎(jiǎng)勵(lì)，需要找到蘋果、Google、三星和華為等公司系統(tǒng)軟件的漏洞。

Pwn2Own黑客大會(huì)的獎(jiǎng)勵(lì)金額超過50萬美元，根據(jù)漏洞的難度不同，獎(jiǎng)金也有變化。Safari漏洞獎(jiǎng)勵(lì)金額高達(dá)4萬美元、SMS短信漏洞獎(jiǎng)勵(lì)金額高達(dá)6萬美元、基帶安全漏洞獎(jiǎng)勵(lì)10萬美元。今年的目標(biāo)裝置包括iPhone 7、三星Galaxy S8、Google Pixel、華為Mate 9 Pro,這些裝置都將執(zhí)行最新版iOS或Android系統(tǒng)，同時(shí)安裝最新安全修補(bǔ)程序。

本屆移動(dòng)Pwn2Own中，來自360 Vulcan Team的多位安全研究員還將參加iPhone 7的破解項(xiàng)目，同時(shí)還將帶來關(guān)于一種新型瀏覽器漏洞——OOM的議題分享。

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。