Pwn2Own Tokyo 2019 大赛将于今年11月6日至7日在 PacSec 大会期间举行。奖金池超过75万美元,潜在目标包括8类17种不同的设备。2019年的东京 Pwn2Own 大赛和刚刚结束的温哥华 Pwn2Own 大赛目的一样,都是通过披露漏洞并将其报告给供应商的方式加固设备和操作系统的安全,从而在漏洞遭利用前修复它们。Pwn2Own 2019 东京大赛的目标手机包括:小米 Mi9
三星Galaxy S10
华为 P30
谷歌Pixel 3 XL
苹果iPhone XS Max
Oppo F11 Pro(仅基带类)
所有这些手机都将分别运行各自操作系统的最新版本,均安装了可用的更新。本次大赛大大扩展了设备数量和类型。除了新增 Facebook 公司的 Portal from Facebook 和 Qculus Quest 两款产品之外,大赛还涵盖了基于互联网的电视机和消费者级别的网络路由器,以及新增了智能扬声器和联网摄像头。完整的设备清单如下:Apple Watch Series 4
Oculus Quest (64 Gb)
所有这些设备将被更新至最新的补丁水平或系统更新,所有设备的配置均为默认配置。在这类中,竞赛人员将针对特定手机的默认 web 浏览器,该类的奖金为:
该类别中的某些手机类型还包括附加奖金。如果参赛者利用 payload 以内核权限在任意手机上执行,则可获得额外2万美元以及额外2个Master of Pwn 积分点的奖励。利用payload 绕过重启也将获得额外奖金。在谷歌 Pixel 手机上实现这一目标将额外获得2.5万美元和3个Master of Pwn 积分点的奖励;如在苹果 iPhone XS 完成这一目标将额外获得5万美元和5个Master of Pwn 积分点的奖励。这就意味着,如果能够以内核级别访问权限且持久地完全利用 iPhone 浏览器则可获得13万美元的奖励。这个类别关注的是通过 WiFi、蓝牙或 NFC 发生的攻击。该类别的及奖励如下:
该类别也设置了额外奖金:内核级别的利用额外奖励2万美元、谷歌Pixel 和苹果iPhone上实现持久攻击可分别获得2.5万美元和5万美元的额外奖金。该类别中的攻击通过查看或接收 MMS 或 SMS 信息实现。该类别中的奖励如下:
最后一类手机攻击涵盖目标设备和恶意基站进行通信的攻击。奖励如下:
该类别的额外奖金最为诱人也最困难。如果某利用 payload 能够跳转并在苹果 iPhone 或谷歌 Pixel 的应用程序处理器上执行代码,则参赛者获得额外奖金15万美元以及额外的15个 Master of Pwn 积分点,也就是说能够通过基带实现成功跳转将为参赛者赢得30万美元。除了手机外,成功入侵设备并检索某种形式的敏感信息也算挑战成功,比如本地提取和非侵入性物理攻击(涉及随意的物理访问权限)也在范围内,但奖励较低。
在本类别中,参赛者可以针对 WAN 或 LAN 接口。
Pwn2Own 2019 东京大会的具体参赛规则请参见如下网址且可能随时做出变更:https://www.zerodayinitiative.com/Pwn2OwnTokyo2019Rules.html另外,大赛的注册时间截止到日本标准时间2019年11月4日下午5点。
原文链接
https://www.zerodayinitiative.com/blog/2019/8/26/announcing-pwn2own-tokyo-for-2019
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。