本周二,趋势科技ZDI宣布了2020年 Pwn2Own 东京赛的赛事规则和奖金。
2020年Pwn2Own 东京赛将于2020年11月3日至5日举行,将和PacSec 大会同时举办。不过受新冠肺炎疫情的影响,PacSec大会已转为线上举行。2020年Pwn2Own东京大赛将在加拿大多伦多举办,不过感兴趣的研究人员可以选择远程参赛。参赛者需要提交一份白皮书,具体说明其利用链和运行exploit 的指令,交给ZDI员工在多伦多运行。然而,这导致参赛者无法现场更改其exploit 或脚本。ZDI 表示,如果发生异常情况,则会降低远程参赛者的获胜几率。2020年Pwn2Own 东京大赛专注于智能手机的 exploit,包括Google Pixel 4、三星Galaxy S20、华为P40、苹果 iPhone 11 和小米Mi 10。参赛者如果能通过web 浏览器黑掉 iPhone 11或Pixel4,且如果他们的 exploit 是通过内核权限执行的且payload 可以在设备重启后存活,则可获得最高16万美元的奖金。如果通过无线、蓝牙或NFC 实施成功攻击,则可获得同等金额的奖金和额外奖励。
2020年Pwn2Own 东京大赛还涵盖可穿戴设备。参赛者如能在 Facebook 的Oculus Quest VR 收集上实现远程代码执行,则可获得6万美元的奖金,如果能在第五系列AppleWatch 上执行远程代码,则可获得8万美元的奖金。在家居自动化类别,研究人员如果能提供针对Facebook Portal、亚马逊Echo Show 8、SonosOne 扬声器、谷歌 Nest Hub 和Nest、Ring 和Arlo 的摄像机的exploit,则可获得4万至6万美元的奖金。如果exploit 是针对索尼和三星的智能电视、Synology 和西部电子的NAS 设备和网件以及 TP-Link 的路由器,则可最多获得2万美元的奖金。本年的总奖金池超过50万美元。在去年的Pwn2Own 东京大赛,参赛者共找到18个不同的漏洞并共获得31.5万美元的奖金。更多详情,可参见ZDI 官方网站:
https://www.thezdi.com/blog/2020/7/28/announcing-pwn2own-tokyo-2020-live-from-toronto
https://www.securityweek.com/zdi-announces-rules-prizes-pwn2own-tokyo-2020
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~