2016年的三月有两场大战备受瞩目:一是李世石与谷歌人工智能AlphaGo的围棋决战,二是安全界的华山论剑Pwn2Own 2016大赛。作为安全界最负盛名、奖金最高的黑客大赛,Pwn2Own将集聚全球最顶尖的安全团队,一同竞争黑客界的武林盟主。
据前方传来的最新消息,在加拿大温哥华举办的世界黑客大赛Pwn2Own上,代表中国安全团队出战的360Vulcan Team用时11秒攻破了本届赛事难度最大的谷歌Chrome浏览器,并成功获得系统最高权限。
此外,360Vulcan Team还攻破了基于Edge浏览器的Adobe Flash Player,同样获得系统最高权限,再获80000美元全额奖金和13分满分成绩。
Chrome代表着谷歌安全防御技术的最高水平。安全圈人尽皆知,最近击败李世石的AlphaGo你知道吧?谷歌用来挖掘漏洞的机器数量和运算能力完全不亚于AlphaGo。Google拥有全球最强的漏洞挖掘团队Goole Project Zero。不仅如此,谷歌还有机器挖掘大军,以远超人类的速度筛选Chrome的远程代码执行漏洞。
同时,Chrome还拥有全球唯一能够锁定Windows内核攻击面的沙箱系统。当沙箱上锁后,攻击代码对外部的资源不再具有访问权限,Chrome也因此在历届Pwn2Own大赛都成为黑客面临的终极挑战,最新版Chrome的安全系数相比往年更是有着飞跃提升。在赛前,Chrome团队还自信放出豪言,攻破Chrome并获得系统控制权几乎被认为是“不可能完成的任务”并准备了65000美金等待天才们有本事来拿走。
在这种情形下,就连万能的漏洞中间商也对Chrome头疼不已。去年11月,国际著名的漏洞中间商Zerodium在黑市悬赏Chrome的漏洞,额度已然达到了最低80000美金的天价!
据了解,Chrome在游览器的最新市场份额已达到 36.6%;据统计有接近50% 科技网站读者在使用 Chrome,看到这里的你会是其中一员吗?不过不用担心,Pwn2Own自2007年诞生来的使命就是:参赛者发现软件最新版的系统漏洞,并利用漏洞成功攻破系统获得权限,拿走奖金。但胜利者发现的漏洞将提交给对应的厂商,帮助厂商弥补木桶上的那块“短板”。
