Pwn2Own 黑客大赛项目新增物联网类别
翻译:360代码卫士团队
今年由趋势科技 ZDI 组织的以移动为焦点的 Pwn2Own 黑客大赛将新增物联网设备类别。
因范围扩大的原因,该大赛的名称已由原来的“移动 Pwn2Own”更改为“Pwn2Own 东京”,将在11月13日至14日于日本东京和 PacSec 安全大会一起举行。
黑客如果设法找到并利用谷歌、苹果、三星、华为、小米、亚马逊和 Nest 设备中的漏洞,那么就可获得超过50万美元的现金等奖励。
在新增的物联网类别,如果黑客能在无需用户交互的情况下,在苹果手表 Series 3、亚马逊 Echo (第二代)、谷歌 Home、Nest Cam IQ Indoor 和亚马逊 Cloud Cam 设备上执行任意代码,那么最多可获得6万美元的奖励。
在网络浏览器类别,如果用户能够攻破华为 P20、小米 Mi6 和三星 Galaxy S9 上的默认浏览器,则可获得2.5万美元的现金奖励;如果能成功利用运行在苹果 iPhone X 和谷歌 Pixel 2 上的浏览器漏洞,则可获得5万美元的奖励。
在近距离类别(包括WiFi、蓝牙和近场通信)中,ZDI 提供的奖励金额是3万至6万美元,其中针对苹果和谷歌设备的利用代码获得的奖励是其中更高部分。
只通过向设备发送 SMS/MMS 信息或让机主查看信息的方式攻破设备,则可获得最多7.5 万美元的奖励。
今年能拿到最高奖励的是基带类别,涉及和恶意基站通信的目标设备。研究人员如能成功利用华为、小米和三星设备的漏洞,则可获得最多5万美元的奖励,如能攻破苹果和谷歌手机则可最多获取15万美元的奖励。
在浏览器和近距离类别中,参与人员的利用 payload 如可通过内核权限得以执行,则可获得额外的2万美元奖励。如果利用仍然能在 iPhone X 重启后存活,则可而获得5万美元的奖励;如能在 Pixel 2 重启后存活则可获得2.5万美元的奖励;这两种奖金都是一直都有的类别。
注册 Pwn2Own 东京大赛的时间截止到日本标准时间11月7日下午5点。
在去年的赛事上,黑客成功演示了针对三星 Galaxy S8、苹果 iPhone 7 和华为 Mate 9 Pro,可获得超过50万美元的奖励。无人挑战谷歌 Pixel。
关联阅读
原文链接
https://www.securityweek.com/iot-category-added-pwn2own-hacking-contest
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。