PWN2OWN 2018东京赛事首日多款热门手机“遭到”攻击

近日，在日本东京举行的Pwn2Own 2018年赛事中，苹果iPhone X、三星Galaxy S9和小米旗下的米6智能手机都遭到黑客攻击。（回顾：Pwn2Own黑客竞赛项目出炉，苹果、小米、华为均被明码标价）

一个由Amat Cama和Richard Zhu组成的团队，他们自称为“fluoroacetate”，使用NFC漏洞攻击了米6。根据Pwn2Own的组织者发布的信息，他们利用了一个影响WebAssembly的越界写bug，通过NFC实现了代码的执行。研究人员从这次黑客攻击中赚取3万美元。

来自英国MWR实验室的Pwn2Own TokyoA团队也因破解米6而赚得3万美元。他们进行了两次尝试，最终成功地通过Wi-Fi演示破解了一个代码执行漏洞，从目标手机中窃取了一张照片。活动组织者指出，这个漏洞涉及到5个不同的逻辑错误，其中一个错误允许通过JavaScript静默安装应用程序。

另外，MWR实验室的还试图展示三星Galaxy S9的漏洞。白帽黑客在没有用户交互的情况下入侵了一个受控制的门户网站，利用不安全的重定向和不安全的应用程序加载bug，在手机上执行代码，这又为他们增加了3万美元进账。

fluoroacetate团队也演示了针对三星Galaxy S9的代码执行漏洞。该漏洞涉及到设备基带组件的堆溢出，研究人员因此赢得5万美元奖金。这一团队还利用Just-In-Time（JIT）错误和越界写入漏洞通过Wi-Fi破解了iPhone X。这令他们再次带走了奖池中的6万美元奖金。

最后，研究员Michael Contreras因破解了米6浏览器将2.5万美元归入囊中，他在破解过程中使用了一个JavaScript类型混淆缺陷来实现代码执行。

Pwn2Own 2018东京站的参与者在活动的第一天共赚得22.5万美元。这是第一次将物联网设备纳入赛事范围的Pwn2Own比赛，如Apple Watch,Amazon Echo，谷歌Home, Amazon Cloud Cam等。这些产品的奖金范围在4万至6万美元之间，相信接下来的赛事活动会更加精彩。