Pwn2Own黑客大赛项目新增物联网类别
因范围扩大的原因,该大赛的名称已由原来的“移动 Pwn2Own”更改为“Pwn2Own 东京”,将在11月13日至14日于日本东京和 PacSec 安全大会一起举行。
黑客如果设法找到并利用谷歌、苹果、三星、华为、小米、亚马逊和 Nest 设备中的漏洞,那么就可获得超过50万美元的现金等奖励。
在新增的物联网类别,如果黑客能在无需用户交互的情况下,在苹果手表 Series 3、亚马逊 Echo (第二代)、谷歌 Home、Nest Cam IQ Indoor 和亚马逊 Cloud Cam 设备上执行任意代码,那么最多可获得6万美元的奖励。
在网络浏览器类别,如果用户能够攻破华为 P20、小米 Mi6 和三星 Galaxy S9 上的默认浏览器,则可获得2.5万美元的现金奖励;如果能成功利用运行在苹果 iPhone X 和谷歌 Pixel 2 上的浏览器漏洞,则可获得5万美元的奖励。
在近距离类别(包括WiFi、蓝牙和近场通信)中,ZDI 提供的奖励金额是3万至6万美元,其中针对苹果和谷歌设备的利用代码获得的奖励是其中更高部分。
只通过向设备发送 SMS/MMS 信息或让机主查看信息的方式攻破设备,则可获得最多7.5 万美元的奖励。
今年能拿到最高奖励的是基带类别,涉及和恶意基站通信的目标设备。研究人员如能成功利用华为、小米和三星设备的漏洞,则可获得最多5万美元的奖励,如能攻破苹果和谷歌手机则可最多获取15万美元的奖励。
在浏览器和近距离类别中,参与人员的利用 payload 如可通过内核权限得以执行,则可获得额外的2万美元奖励。如果利用仍然能在 iPhone X 重启后存活,则可而获得5万美元的奖励;如能在 Pixel 2 重启后存活则可获得2.5万美元的奖励;这两种奖金都是一直都有的类别。
注册 Pwn2Own 东京大赛的时间截止到日本标准时间11月7日下午5点。
在去年的赛事上,黑客成功演示了针对三星 Galaxy S8、苹果 iPhone 7 和华为 Mate 9 Pro,可获得超过50万美元的奖励。无人挑战谷歌 Pixel。
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。