在加拿大溫哥華舉辦的世界黑客大賽Pwn2Own上���,360Vulcan Team用時11秒攻破了本屆賽事難度最大的谷歌Chrome瀏覽器����,并成功獲得系統(tǒng)最高權(quán)限�。這是中國安全團隊在Pwn2Own歷史上首次攻破Chrome。
近日�,在加拿大溫哥華舉辦的世界黑客大賽Pwn2Own上,360Vulcan Team用時11秒攻破了本屆賽事難度最大的谷歌Chrome瀏覽器�����,并成功獲得系統(tǒng)最高權(quán)限�。這是中國安全團隊在Pwn2Own歷史上首次攻破Chrome。
此外��,360Vulcan Team還攻破了基于Edge瀏覽器的Adobe Flash Player�,同樣獲得系統(tǒng)最高權(quán)限,再獲80000美元全額獎金和13分滿分成績��。
“人機大戰(zhàn)”,黑客獲勝
Chrome代表著谷歌安全防御技術(shù)的最高水平����。除了全球聞名的“黑客天團”Google Project Zero以外,谷歌還擁有上千臺服務(wù)器以深度挖掘技術(shù)對Chrome等產(chǎn)品進行漏洞測試�,其計算能力完全不亞于剛剛在圍棋“人機大戰(zhàn)”中戰(zhàn)勝李世石的 AlphaGo,此舉大大降低了Chrome漏洞被外界發(fā)現(xiàn)的概率���。
同時��,Chrome還擁有全球唯一能夠鎖定Windows內(nèi)核攻擊面的沙箱系統(tǒng)����。當沙箱上鎖后���,攻擊代碼對外部的資源不再具有訪問權(quán) 限�����,Chrome也因此在歷屆Pwn2Own大賽都成為黑客面臨的終極挑戰(zhàn)�,最新版Chrome的安全系數(shù)相比往年更是有著飛躍提升�����,攻破Chrome并 獲得系統(tǒng)控制權(quán)幾乎被認為是“不可能完成的任務(wù)”。
此次360Vulcan Team聯(lián)合360手機衛(wèi)士出戰(zhàn)�,使用四個漏洞組合攻擊,一舉打破Chrome的安全神話��,也幫助Chrome變得更安全����,推動瀏覽器行業(yè)整體防護水平的提升�。
中國安全團隊閃耀世界舞臺
360并非首次出戰(zhàn)Pwn2Own。在2015年的該項比賽中��,360Vulcan Team成功斬獲當時微軟全副武裝的IE11“獨角獸”級別獎項�,成為Pwn2Own黑客世界杯上攻破IE的首支亞洲團隊。連續(xù)兩年�����,360都選擇了高難 度項目進行挑戰(zhàn)���,為中國安全行業(yè)在世界頂級賽場創(chuàng)造歷史�����。
據(jù)悉���,360Vulcan Team是360互聯(lián)網(wǎng)安全創(chuàng)新中心旗下一支安全研究團隊�����,主要負責挖掘軟件的安全漏洞并推動廠商及時修復(fù)漏洞��。近年來����,360安全衛(wèi)士推出的“XP盾 甲”�、“IE盾甲”等漏洞防護產(chǎn)品,其核心技術(shù)就由360Vulcan Team提供支持����。
在過去的2015年,360安全團隊為谷歌��、微軟�、蘋果和Adobe提交了上百個漏洞獲得公開致謝,僅次于Google Project Zero排名全球第二�,獲譽“東方最強白帽子軍團”。這些漏洞如果賣給網(wǎng)絡(luò)“軍火商”�,一個漏洞的價值就達到數(shù)萬美元,但白帽黑客(網(wǎng)絡(luò)安全的建設(shè)者��,而 不是破壞者)的選擇是把漏洞給廠商去修復(fù)。
“Live Long and PWN(生命不息����、破解不止)是團隊的座右銘,挑戰(zhàn)極限和不可能是我們作為安全研究人員的不懈追求”��,360Vulcan Team負責人鄭文彬稱����,“我們在與谷歌的上千臺"機器大軍"對抗中找到漏洞��,就是希望每個人上網(wǎng)都變得更安全����。”
