3月18日,世界黑客大赛Pwn2Own在加拿大温哥华正式落幕,所有项目结果已全部公布。其中,360Vulcan Team用时11秒攻破了本届赛事难度最大的Chrome,并成功获得系统最高权限,成为此次大赛中全球唯一一支突破Chrome的安全团队。这也是中国安全团队在Pwn2Own历史上首次攻破谷歌Chrome浏览器。 安全圈人尽皆知,Google拥有全球最强的漏洞挖掘团队Goole Project Zero。不仅如此,谷歌还有机器挖掘大军,以远超人类的速度筛选Chrome的远程代码执行漏洞,其运算能力完全不亚于击败李世石的AlphaGo。 同时,业内公认Chrome拥有目前世界上最坚固的沙箱,即使攻击者发现了Chrome的可利用漏洞,也很难突破沙箱。Chrome还具备全球唯一能锁定内核攻击面win32k的沙箱系统,沙箱上锁后,对外部的任何资源都不再具有访问权限。 由于挑战Chrome的难度系数极高,所以本次大赛中只有360VulcanTeam和被称为韩国神童的JungHoon Lee挑战了该项目。 360Vulcan Team联合360手机卫士出战,使用四个漏洞组合攻击,一举打破Chrome的安全神话。而稍后出战的JungHoon Lee在比赛中挑战失败,360VulcanTeam成为唯一攻破Chrome的安全团队。 实际上,在上届世界黑客大赛中,360Vulcan Team就成功斩获了当时微软全副武装的IE11“独角兽”级别奖项,成为Pwn2Own黑客世界杯上攻破IE的首支亚洲团队,连续两年挑战最高难度项目,也为中国安全行业在世界顶级赛场创造历史。 此外,360Vulcan Team还攻破了基于Edge浏览器的Adobe Flash Player,同样获得系统最高权限,再获80000美元全额奖金和13分满分成绩。 据悉,360Vulcan Team是360互联网安全创新中心旗下一支安全研究团队,主要负责挖掘软件的安全漏洞并推动厂商及时修复漏洞。在过去的2015年,360安全团队为谷歌、微软、苹果和Adobe提交了上百个漏洞获得公开致谢,仅次于Google Project Zero排名全球第二,获誉“东方最强白帽子军团”。 而360互联网安全创新中心以360精英安全人才为依托,下属12支安全研究团队、三大平台、五大实验室、三个研究院,其研究范围实现了对互联网安全全领域的覆盖。此外,360互联网安全创新中心也是目前亚太地区规模最大且唯一具备全球影响力的网络安全创新中心。 |
评论
直达楼层