锦田国际

奇安盘古用时1秒破解iPhone 13

字号+ 作者:生活头条 来源:未知 2021-10-17 我要评论

受害人只需在浏览器上点击一个链接,iPhone手机就会悄无声息的被黑客控制。10月16日,在第四届天府杯国际网络安全大赛期间,来自奇安盘古旗下盘古实验室的白帽黑客slipper,完成了

“受害人只需在浏览器上点击一个链接,iPhone手机就会悄无声息的被黑客控制。”10月16日,在第四届“天府杯”国际网络安全大赛期间,来自奇安盘古旗下盘古实验室的白帽黑客slipper,完成了iPhone 13的全球首次公开远程越狱,取得手机最高控制权限,斩获了包括天府杯在内的各类网络安全大赛历史最高单项奖金30万美元。

据slipper介绍,作为本届天府杯期间最受关注和奖金最高的破解项目,本次破解基于苹果手机最新机型iPhone 13 Pro,当用户点击攻击者精心伪造的一个链接之后,即可触发Safari浏览器远程代码执行漏洞,使得攻击者可以远程执行攻击命令。

在绕过Safari浏览器防护机制之后,slipper再次利用了iOS15内核以及A15芯片的多个漏洞进行了组合攻击,成功绕过了多项安全防护机制,取得了iPhone 13 Pro最高控制权,可以随意获取信息,包括相册、APP等,甚至可以直接删除设备上的数据或者执行其他任意命令。

更值得关注的是,尽管在整个破解过程中,slipper利用了Safari浏览器以及iOS内核等多个漏洞进行组合攻击,但除了需要用户点击一个链接之外,没有其他任何交互操作,触发方式非常简单,且整个破解过程耗时仅需1秒钟,因此对用户危害极大。

事实上,无论是苹果A系列芯片等硬件,还是iOS系统、Safari浏览器等系列软件,苹果每一代重大升级背后,安全性提升都是重要原因。但漏洞是无法避免的,从iPhone4到iPhone13系列机型,再从iOS7到iOS15,依托于多年的移动安全实战攻防能力和经验,盘古实验室一直保持着第一时间攻破的能力,彰显了盘古实验室强大的移动端漏洞攻防能力。

另外在今天上午结束的Adobe PDF Reader破解项目中,slipper构造了一个PDF文件,当用户打开该文件后,就可以远程执行任意命令。第一日比赛结束后,奇安盘古战队排名位列第一。

作为国际知名的移动安全研究团队,盘古实验室在主流操作系统和重要应用程序中曾发现过数百个0day安全漏洞,具备专业的移动安全防护实力和丰富的攻防对抗经验,研究成果多次发表在极具影响力的工业安全峰会 (Black Hat, CanSecWest, Syscan, RUXCON, HITCon, PoC, XCon)和顶级学术会议 (IEEE S&P, USENIX Security, ACM CCS, NDSS) 上,团队研究范围覆盖iOS、Android、HarmonyOS等主流移动平台。

“天府杯”国际网络安全大赛致力成为全球第一的破解比赛,面向所有安全从业人员公开征集参赛选手与参赛项目。参赛选手根据目标赛项设定报名参赛项目,比赛设置冠军、亚军、季军奖。大赛共设立150万美元的奖金,全球同类赛事遥遥领先,包含PC端、移动端与服务器端三大项,以及虚拟化 软件、操作系统软件、浏览器软件、办公软件、移动智能终端、Web服务及应用软件、DNS 服务软件、共享管理类服务软件等八大类别

转载请注明出处。

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • 外媒:苹果iPad mini 6在竖屏使用时出现“果冻屏”问题

    外媒:苹果iPad mini 6在竖屏使用时出现“果冻屏”问

  • 奥飞数据:拟1.22亿元收购天津盘古云泰40%股权

    奥飞数据:拟1.22亿元收购天津盘古云泰40%股权

  • 奇安信发布春节期间DDoS攻击报告:被攻击 IP 数增加 37%

    奇安信发布春节期间DDoS攻击报告:被攻击 IP 数增加

  • 专利显示苹果正研发屏下摄像头,不用时可隐藏

    专利显示苹果正研发屏下摄像头,不用时可隐藏

网友点评
精彩导读
热门资讯
关注我们
关注微信公众号,了解最新精彩内容


关注微信
手机网站
关于我们