去年以不到两分钟时间破解MacBook Air、抱回一万美元大奖的安全专家,再度赢得5,000美元奖金,这回他只花十秒钟左右,就利用苹果Safari浏览器的安全漏洞成功入侵系统。
Charlie Miller是Independent Security Evaluators的安全分析师,他在CanSecWest安全会议的Pwn2Own黑客竞赛中,入侵一台执行最新版Mac OS的MacBook电脑。Pwn2Own是黑客之间用的术语,意思是夺下电脑的控制权。
Miller表示,他去年发现这个安全漏洞,可让黑客自远端掌控一台电脑,只要促使电脑使用者点击某个恶意网站的URL即可得逞。
他一边示范一边说:“这不容易,但这(用Safari浏览器)点击一下就办到了。”
根据比赛规则,Miller不得揭露这个exploit(利用软件安全弱点或漏洞的程序)的细节。Miller表示,之前已向苹果代表告知他打算这么做。他说:“他们很高兴,因为既可得到免费的研究结果,又可修正一个软件错误(bug)。”
这场黑客比赛的赞助商是TippingPoint,将与苹果分享这个exploit的资讯,并制作补丁程序。对利用主要网页浏览器新安全漏洞的exploit,TippingPoint提供5,000美元奖金,另给一万美元奖金征选主要品牌智能手机的exploit。
2007年苹果iPhone推出没多久,Miller就发现手机版Safari有安全漏洞。
在Miller得奖之后,一名25岁的德国欧登堡大学电脑系学展示用exploit入侵IE 8、Safari和Firefox,抱走1.5万美元奖金。
这名拒绝公开全名的学生,可保有那台被他用exploit侵入的索尼Vaio电脑,而Miller也可保有那台MacBook。
网友评论