AlphaGo与李世石“人机大战”的硝烟还没完全散去,来自中国的世界顶尖黑客就让机器尝了下人类的厉害。
北京时间3月17日,在加拿大温哥华举办的年度世界黑客“世界杯”Pwn2Own上,代表中国出征的360Vulcan Team仅仅用时11秒,就攻破了赛事公认最高难度——谷歌Chrome浏览器,获得系统最高权限,这是中国安全团队在Pwn2Own历史上首次攻破Chrome;中国的另一个参赛队伍腾讯安全战队也仅用5秒就攻破苹果Safari浏览器、3秒“碾轧”Adobe Flash,并有可能拿下“世界破解大师”这一赛事最高荣誉称号。
Pwn2Own是全世界最著名、奖金最丰厚的黑客大赛,由美国五角大楼网络安全服务商、惠普旗下TippingPoint的项目组ZDI(Zero Day Initiative)主办,谷歌、微软、苹果、Adobe等互联网和软件巨头都对比赛提供支持,通过黑客攻击挑战来完善自身产品。
11秒夺回人类尊严
360Vulcan Team是360互联网安全创新中心旗下一支安全研究团队,主要负责挖掘软件的安全漏洞并推动厂商及时修复漏洞。在2015年的该项比赛中,360Vulcan Team获得微软IE11“独角兽”级别奖项,成为Pwn2Own黑客世界杯上攻破IE的首支亚洲团队。
这次360 Vulcan Team的主要目标就是攻破看似坚不可摧的Chrome浏览器。Chrome代表着谷歌安全防御技术的最高水平,它拥有全球唯一能够锁定Windows内核攻击面的沙箱系统,安全系数逐年提高,其计算能力完全不亚于刚刚在围棋“人机大战”中战胜李世石的AlphaGo,想要攻破并拿到最高权限几乎被认为是“不可能完成的任务”。
此次360Vulcan Team使用四个漏洞组合攻击,仅仅用11秒就打破了Chrome的安全神话。与之相比,攻克Adobe Flash Player等其他项目显得就像热身一般,轻松拿下了8万美元全额奖金和13分满分(包括系统提权的5分附加分)。
虽然轻轻松松就踢飞了Chrome的安全招牌,但360安全团队也在不断帮助Chrome使其变得更安全,推动浏览器行业整体防护水平的提升。360Vulcan Team负责人郑文彬称:“我们在与谷歌的上千台‘机器大军’对抗中找到漏洞,就是希望每个人上网都变得更安全。”
在过去的2015年,360安全团队为谷歌、微软、苹果和Adobe提交了上百个漏洞获得公开致谢,仅次于Google Project Zero排名全球第二,获誉“东方最强白帽子军团”(“白帽”指代网络安全的建设者,而不是破坏者)。这些漏洞如果卖给网络“军火商”,一个漏洞的价值就达到数万美元,但白帽黑客的选择是把漏洞给厂商去修复。
冠军或将属于另一批中国“秒男”
最难的谷歌Chrome被360黑客团队拿下来了,而中国另一参团队腾讯安全战队也获得了优异的战绩。
据悉,腾讯安全战队此次派出Shield战队与Sniper战队分批出战。两支战队分别由腾讯电脑管家安全研究员和腾讯新成立的科恩实验室成员组成。
在激烈的“人机大战”中,Shield战队仅用5秒就攻破苹果Safari浏览器,并获得Root权限,成功获得该项目全额积分10分;而Sniper战队仅用3秒的神速,就完全“碾轧”Adobe Flash,不仅成功攻破该插件,而且实现系统级访问,拿到该项目全额积分13分,顺便还刷新了赛事史上攻破速度之最。
据介绍,腾讯安全战队攻破的是最新版本的苹果桌面浏览器Safari,需要发掘和利用还未公开和上报的未知漏洞,等于是世界范围内首批发现Safari未知漏洞的黑客。
Pwn2Own 2016官网显示,北京时间18日凌晨赛事将展开第二天的角逐,届时,腾讯安全战队还将参与三个攻破项目。就已公布的参赛内容与首日的总积分排名判断,腾讯安全战队的“秒男”们有望拿到总积分榜第一,力压韩国的对手夺得世界冠军头衔。 (观察者网综合中新网、21世纪经济报道等报道)
0
