2016年10月26日,由Trend Micro旗下Zero Day Initiative举办的Mobile Pwn2Own 2016世界顶级黑客大赛在日本东京举办,腾讯科恩实验室夺冠,浙大计算机学院同学以主力队员身份问鼎世界!
我浙学子刘耕铭和何淇丹的优异表现,
不仅在CC98上引来了长达10页的仰慕与膜拜,
连人民日报都忍不住点了一个大大的赞呢!
这两位浙大学子到底有多厉害?
在本届黑客大赛中,刘耕铭和何淇丹所在的腾讯科恩实验室不仅首个成功破解Nexus6P,实现了远程app install,也是全球第一个破解Nexus6P 和 android7.0的团队。
更为外人津津乐道的是,团队在远程攻破Nexus 6P时,仅仅花了十秒钟的时间,这听起来简直是不可完成的任务!
就是这样一只优秀的团队,经过一天的比拼,获得了Master Of Pwn的荣誉,即在顶级的黑客竞赛中获得了最高的荣誉。
我浙的两位校友到底黑了啥?
科恩实验室是什么?
Mobile Pwn2Own有多厉害?
别急,现在我们就来聊聊那些你不知道的事~
▍Pwn2Own到底是一场什么级别的赛事呢?
Pwn2Own是世界著名的黑客大赛,由Trend Micro旗下的著名安全项目Zero Day Initiative举办。
简单来说,Pwn2Own相当于是黑客界的世界杯。
作为信息安全界世界顶级黑客赛事的Pwn2Own,要求在最新的系统上、用户无法察觉到的情况下、不允许使用任何已知漏洞,完成一系列指定的入侵操作。
这一次,浙大两位同学参加的Mobile Pwn2Own则是黑客界在Mobile端至高的荣耀,大赛重点关注移动操作系统、手机浏览器和手机应用APP的安全性问题。
“大赛主要目的是希望安全研究人员、开发人员、以及黑客们通过厂商此前未知的漏洞来侵入其制造的移动设备,在成功攻破设备后,将漏洞细节按照国际遵循的“负责任的漏洞披露”流程汇报给相应的设备厂商,以便厂商尽快对这些漏洞进行修补和修复,保护最终用户。”
出于这样做好事的目的,这些可爱的“黑客”也被称为“白帽黑客”。
▍远程入侵特斯拉的科恩实验室有多牛?
刘耕铭和何淇丹所在的腾讯科恩实验室不仅是国内顶尖的黑客团队,在全球范围内也是牛气轰轰!
两个月前,你可能听说中国黑客通过安全漏洞成功远程入侵特斯拉,实现了对特斯拉驻车状态和行驶状态下的远程控制,这还是全球首次!
事后,这群黑客还将研究过程中发现的所有漏洞细节报告给特斯拉美国产品安全团队并得到了他们对漏洞技术细节和攻击效果的确认。
没错!这就是科恩实验室这群黑客攒在一起赶的事儿。实际上,这家实验室的前身是国内顶尖安全研究团队Keen Team。Keen Team专注于移动安全领域,在2013年至2016年期间,连续四年参加国际顶级黑客大赛Pwn2Own并获得八个单项冠军,也是个冠军专业户呢!
▍10秒破解?!厉害了我的哥!
既然Mobile Pwn2Own是黑客世界杯级的赛事,难度自然就无需多言了,赛制也是相当严苛的。
参赛团队将以iPhone6S、Nexus 6p、Galaxy S7为硬件目标,分别对其进行获取手机内部敏感信息、给手机安装恶意应用程序、固件及破解三个攻击项目。值得注意的是,两大移动平台厂商Apple和Goolgle于近期相继发布了最新版操作系统iOS 10以及Android 7.0。其中,iOS 10采用了更严格的沙盒策略,Safari浏览器新加了Executable-Only JIT策略,使得任意代码执行变得更难。而谷歌旗下推出的智能机Nexus 6P更是搭载了最新的Android Nougat,安全上更是精益求精,大规模的系统重构消灭和隔离了多个薄弱组件、重新设计了权限分割系统。
并且,每一支参赛团队只有3次尝试机会,15分钟之内就必须完成挑战,每次尝试时间限定在5分钟之内。
在这样的情况下,我浙学子刘耕铭和何淇丹依旧表现得非常彪悍! 他们和队员一起,仅仅在10秒之内就完成对搭载最新Google Android 7系统的Nexus 6P远程攻破,勇夺得29分和$102,500奖金。
不过,早在3月份加拿大温哥华举办的PC Pwn2Own 2016中,浙大校友何淇丹就同样以主攻手身份完成对OSX的攻破,随队赢得世界冠军。
在本次大赛里,团队也夺得了“破解大师”(Master of Pwn)的头衔,并获得21.5万美元奖金。
▍浙大传说中的神秘组织:AAA战队
说道这,就不得不提浙大中一个超神秘的组织——浙大AAA战队。刘耕铭和何淇丹这两位白帽黑客也和AAA战队有着深厚的感情。这个传说中的战队是何方神圣呢?
AAA(Azure Assassin Alliance) 战队是由浙江大学信息安全爱好者自发组织,浙江大学计算机学院支持建立的团队,队伍中每一位成员都对信息安全有无与伦比的热爱,因此对 CTF 比赛总是充满了激情。
团员共有十几人,不仅仅有计算机学院的学生,也有来自数学、生物、电子等专业的爱好者。
— 这是他们在2016年取得的成绩 —
有趣的是,为了保证团员的质量,AAA战队专门设置了一定的准入门槛——他们在网站上放了题目,只有破译了题目,才能获取战队的联系方式。是不是超级高大上呢!
因为热爱,所以执着;因为执着,所以精彩。
我浙的学子,是不是值得一个大大的赞呢?
▍文末福利
大家是不是觉得AAA战队更加神秘了呢?
小编特意找来了AAA战队的题目,
感兴趣的小伙伴们可以尝试一下呀!
(这一定是成为or认识“肖奈大神”的绝佳机会!)
说不定,下一个世界顶级“黑客”就是你呀~