Pwn2Own:360安全团队“攻破IE夺冠”系虚假宣传

2,459 次浏览次阅读
一条评论

在加拿大温哥华举办的 Pwn2Own 2015 赛事上,来自中国的三支参赛队伍 Keen Team、腾讯电脑管家和奇虎 360 团队在 3 月 19 日上午均传出“夺冠”消息。然而进入比赛第二日,Pwn2Own 官方公布了比赛结果,挑战“64 位 IE11 浏览器”项目的韩国队 JungHoon Lee(lokihardt) 第二顺位参赛并实现完美攻破,拿到了该项目全额奖金 6.5 万美元,夺得该项目的世界冠军。而此前大肆宣称“九年内亚洲唯一攻破 IE 浏览器”的 360 团队却因为攻破不符合比赛规则,而只拿到了鼓励奖金 3.25 万美元,所谓堪称“独角兽”大奖更是无中生有。

Pwn2Own:360

JungHoon Lee(lokihardt) 第二顺位挑战 IE 夺冠

Pwn2Own:360

3 月 18 日,在比赛尚未结束之前,科技媒体被“360 获 Pwn2Own 攻防大赛世界冠军”等相关新闻刷屏。消息称,360 的攻防研究团队 360 Vulcan Team 攻破了微软 Win8.1 系统和 64 位 IE11 浏览器,“360Vulcan Team 也成为世界黑客大赛历史上首个获得 IE 项目冠军的亚洲团队”。

而在北京时间 3 月 20 日凌晨,Pwn2Own 官方公布了比赛最终结果,第二顺位挑战“64 位 IE11 浏览器”项目的韩国队 JungHoon Lee(lokihardt) 最终实现完美攻破,拿到了该项目全额奖金 6.5 万美元,夺得该项目的世界冠军,一同挑战该项目并在第一顺位出场的 360 团队因不符合比赛规则而只拿到了该项目的安慰奖金。

对此,主办方给出了比赛说明:

“Sponsor reserves the right to solely determine what constitutes a successful attack. The Sponsor may, in its sole discretion, choose to accept the entry(ies) and offer the prize(s) at a value less than the initial prize offering for a given category if part of the exploit chain fails to meet the above rules.”(如果漏洞利用过程中部分不符合规则,主办方有权给参赛者一部分奖金。)

“按照 Pwn2Own 比赛规则,参与挑战同一项目的参赛队伍抽签决定上场顺序,第一顺位挑战团队如果实现完美攻破可拿到全额奖金,第二顺位挑战团队同样实现完美攻破也只能拿到一半奖金。”据一位多年参与 Pwn2Own 的安全专家介绍,今年 360 团队虽然抽签拿到了第一顺位,但最终没有实现完美攻破,所以只拿到安慰奖金,而把“冠军”机会让给了实力更强的韩国队。

同一时间,在 Pwn2Own 参赛的腾讯被爆出根本就不在参赛队伍中,而是看到 360 加入后临时对 Keen Team“施压”加入的。(详见:《Pwn2Own:腾讯“黑客大赛夺冠”系虚假宣传 》)

Pwn2Own:360

 

据了解,奇虎 360 制造假新闻诈传成绩已非首次。2014 年 10 月,国际权威安全软件测评机构 AV-C(AV-Comparatives) 发布报告指出,奇虎 360 送往该机构检测的 360 手机卫士版本与其在市面上流通的版本有很大区别,不少病毒样本在送测版本上能找到但在用户版本上却根本发现不了。获得测评结果后,360 大肆借用因“作弊”而获得的评测成绩进行市场宣传,称产品达到“100%”的病毒拦截率,在评测中“夺冠”。AV- C 评测机构也因此宣布撤销此前对 360 手机卫士的测试认证。

而在 2012 年 8 月,奇虎 360 又被指出“涉嫌伪造微软补丁,瞒骗用户以安装自家浏览器,并锁定主页为奇虎 360 的导航站首页,让用户无法卸载,以前安装的其他浏览器也将变成僵尸”。针对这一不诚信行为,微软官方公开表示:360 提供所谓高危漏洞补丁并非微软产品

关于国际顶级黑客赛事 Pwn2Own

国际最知名的黑客赛事 Pwn2Own 今年已经走到第九个年头。Pwn2Own  以高额奖金和参赛高手云集著称,由著名安全网络提供商 ZDI 主办,曾由 Google、Microsoft 等科技公司提供赞助支持。

今年赛事进一步提高了难度,被誉为“史上最难的一次黑客大赛”。举办方设定的标准待攻破环境里,除  Windows 环境下的 Mozilla Firefox 外全部为 64 位版本软件,在 Windows 下还开启 EPM(IE 的沙箱机制)安全防护及 EMET  防漏洞软件等加强防护体系。由于奖金数额略有下降,以至于赛事的四连冠法国团队 Vupen 选择退出比赛。

不过 Vupen 里的几位高手以个人身份参赛,同时部分欧美和韩国高手也加入到赛事当中,使得本届比赛的竞争再度白热化。

值得一提的是,本届同项目的不同队伍根据抽签决定上场顺序,只有首先攻破的才能获得 Full Prize,第二个攻破的只能获得 Half Prize,如果获得 windows 下的系统权限,还可以额外获得 2.5 万美元奖金。

酥耳狸
版权声明:本站原创文章,由 酥耳狸 2015-03-21发表,共计2041字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
评论(一条评论)
载入中...
本間芽衣子 评论达人 LV.1
2015-05-02 00:45:42 回复

開始撕了。。。

DuoshuoDuoshuo1.1