鳳凰網(wǎng)科技訊10月16日消息,在第四屆“天府杯”國際網(wǎng)絡(luò)安全大賽期間,來自奇安盤古旗下盤古實驗室的白帽黑客slipper,完成了iPhone13的全球首次公開遠程越獄,取得手機最高控制權(quán)限,獲得最高單項獎金——30萬美元。
據(jù)介紹,作為本屆天府杯期間最受關(guān)注和獎金最高的破解項目,本次破解基于蘋果手機最新機型iPhone13Pro,當用戶點擊攻擊者精心偽造的一個鏈接之后,即可觸發(fā)Safari瀏覽器遠程代碼執(zhí)行漏洞,使得攻擊者可以遠程執(zhí)行攻擊命令。
在繞過Safari瀏覽器防護機制之后,slipper再次利用了iOS15內(nèi)核以及A15芯片的多個漏洞進行了組合攻擊,成功繞過了多項安全防護機制,取得了iPhone13Pro最高控制權(quán),可以隨意獲取信息,包括相冊、APP等,甚至可以直接刪除設(shè)備上的數(shù)據(jù)或者執(zhí)行其他任意命令。
更值得關(guān)注的是,盡管在整個破解過程中,slipper利用了Safari瀏覽器以及iOS內(nèi)核等多個漏洞進行組合攻擊,但除了需要用戶點擊一個鏈接之外,沒有其他任何交互操作,觸發(fā)方式非常簡單,且整個破解過程耗時僅需1秒鐘,因此對用戶危害極大。
事實上,無論是蘋果A系列芯片等硬件,還是iOS系統(tǒng)、Safari瀏覽器等系列軟件,蘋果每一代重大升級背后,安全性提升都是重要原因。但漏洞是無法避免的,從iPhone4到iPhone13系列機型,再從iOS7到iOS15,依托于多年的移動安全實戰(zhàn)攻防能力和經(jīng)驗,盤古實驗室一直保持著第一時間攻破的能力,彰顯了盤古實驗室強大的移動端漏洞攻防能力。
另外在今天上午結(jié)束的Adobe PDF Reader破解項目中,slipper構(gòu)造了一個PDF文件,當用戶打開該文件后,可以遠程執(zhí)行任意命令。第一日比賽結(jié)束后,奇安盤古戰(zhàn)隊排名第一。
(舉報)