把握機會爭奪 50 萬美元獎金:Mobile Pwn2Own 2017 零日漏洞大賽快將舉行!

把握機會爭奪 50 萬美元獎金:Mobile Pwn2Own 2017 零日漏洞大賽快將舉行!

一年一度的 Mobile Pwn2Own 2017 零日漏洞大賽又快將舉行了!剛剛趨勢科技亦已正式為旗下的 Zero Day Initiative 零時差漏洞懸賞計劃舉辦的 Mobile Pwn2Own 大賽發出公告。這項比賽專門獎勵資訊保安研究人員示範與揭發針對最新及熱門流動裝置的零時差攻擊。今年的比賽將於 11 月 1 至 2 日在日本東京 PacSec 2017 Conference 研討會期間舉行。

參賽者只要能夠展示針對熱門流動平台最新版本的漏洞與攻擊技巧,即有機會獲得現金及獎品。今年鎖定的流動裝置包括 Apple iPhone 7、Samsung Galaxy S8、Google Pixel 以及 Huawei Mate9 Pro。比賽過後,流動裝置廠商將有 90 天時間針對這些漏洞發放修補更新,而非標準的 120 天發佈流程,能更佳對應在競賽中所揭發漏洞的真實危險性。由於這些漏洞的危險性已經由研究人員透過實際攻擊而證明,因此縮短發佈修補流程有助於提早防範以保障用戶安全。

為了強調隨時保持警戒與負責任揭發的重要性,賽會今年甚至提供了比以往更高的獎金,總額超過 50 萬美元。比賽將分成瀏覽器、近距離傳輸與 WiFi、訊息,以及今年再度回歸的基頻 (baseband) 等四大類別。目標名單與獎項內容如下:

類別

目標

獎金

Master of Pwn 點數

瀏覽器

Chrome

$50,000 美元

10

Safari

$40,000 美元

10

其他瀏覽器

$30,000 美元

8

近距離與 WiFi

藍芽

$40,000 美元

8

NFC

$50,000 美元

8

WiFi

$60,000 美元

8

訊息

SMS 文字簡訊

$60,000 美元

12

MMS 多媒體簡訊

$60,000 美元

12

基頻 (Baseband)

*

$100,000 美元

20

除了上述標準類別和獎金之外,還有一些額外獎勵項目,例如以系統核心權限執行程式碼,以及攻擊方式可延續至重新開機之後。通過這些額外獎勵項目,參賽者有機會透過每項漏洞攻擊來累積更多點數,邁向「Master of Pwn」黑客大師之路。