12-25至17日,“天府杯”2021国际网络安全大赛暨2021天府国际网络安全高峰论坛在成都天府国际会议中心举行。本次大赛总奖金额创下全球网络安全同类大赛之最,达到150万美元,面向所有全从业人员公开征集参赛选手与参赛项目。
整场比赛分为产品破解赛和原创漏洞演示复现赛,参赛队伍在不同参赛项目中使用的安全漏洞不能重复,不得使用已公开漏洞。
产品破解赛环节,组委会按照题目难度大、漏洞影响范围广、对我国有特殊影响、体现网络安全发展趋势等原则,设置包含PC端、移动端、服务器端、IOT设备等在内的多道破解题目。iPhone、国产知名手机、国产办公软件、Adobe PDF Reader软件等常用办公软件,谷歌Chrome浏览器、苹果Safari浏览器等常见浏览器,以及智能路由器、智能音箱等IOT终端设备均在考题范围内。
原创漏洞演示复现赛环节,赛题涵盖智能家居、智能装备、车载设备、工控设备、远程教育、办公设备等多种类型,选手根据自身情况自由选报参赛项目。
在2021“天府杯”国际网络安全大赛期间,来自奇安盘古旗下盘古实验室的白帽黑客slipper,完成了iPhone 13的全球首次公开远程越狱,取得手机最高控制权限,斩获了截至目前全球各类网络安全大赛中最高单项奖金——30万美元。
“受害人只需在浏览器上点击一个链接,iPhone手机就会悄无声息的被黑客控制。”,作为本届天府杯期间最受关注和奖金最高的破解项目,该破解基于苹果手机最新机型iPhone 13 Pro,当用户点击攻击者精心伪造的一个链接之后,即可触发Safari浏览器远程代码执行漏洞,使得攻击者可以远程执行攻击命令。在绕过Safari浏览器防护机制之后,slipper再次利用了iOS15内核以及A15芯片的多个漏洞进行了组合攻击,成功绕过了多项安全防护机制,取得了iPhone 13 Pro最高控制权,可以随意获取信息,包括相册、APP等,甚至可直接删除设备上的数据或执行其他任意命令。在破解过程中,除了需要用户点击一个链接之外,没有任何其它交互操作,触发方式简单且整个破解过程耗时仅需1秒钟,因此对用户危害极大。
“天府杯” 作为国内综合影响力最强的实战型网络安全活动,吸引了奇安信、华为、百度安全、启明星辰、绿盟科技、天融信、360政企安全、永信至诚、亚信安全等国内头部安全企业广泛参与,天府国际网络安全高峰论坛集合三位中国工程院院士分享,主办60场精彩演讲,议题涵盖数字城市安全、实战化安全运营、AI安全、云原生安全、车联网安全、大数据安全治理、打击新型网络犯罪、网络安全人才培养等诸多热点领域。两天会期内,全面展示新一代网络安全技术的新动态、新成果和新经验,全国网络安全企业在各自领域、不同维度碰撞出网络安全技术的未来前景。
(看看新闻Knews记者:彭晔 游明灵)
剑网行动举报电话:12318(市文化执法总队)、021-64334547(市版权局)
Copyright © 2016 mzyl.org Inc. All Rights Reserved. 看东方(上海)传媒有限公司 版权所有
全部评论
暂无评论,快来发表你的评论吧