浙大男十秒鐘攻破谷歌智能手機力奪獎金20萬

　　在日前落幕的頂級黑客大賽Mobile Pwn2Own 2016中，騰訊科恩實驗室奪得“The Master of Pwn”（破解大師）的稱號，以45個積分和215000美元獎金拿下了冠軍，將對手遠遠甩在了身后。

　　這支冠軍隊伍的主力隊員中，有兩位來自浙江大學計算機學院——

　　何淇丹，浙大畢業(yè)生，目前供職于騰訊科恩實驗室；

　　劉耕銘，浙江大學大四學生，主攻信息安全方向。

　　奪冠消息公布后，浙大校內(nèi)論壇出現(xiàn)了一個長達10頁的帖子，學弟學妹們對這兩個“黑客”大牛膜拜不已。

　　圖是Nexus被攻破的情景

　　做好事的“黑客”叫“白帽黑客”

　　Mobile Pwn2Own是由Trend Micro旗下的著名安全項目Zero Day Initiative舉辦，谷歌、三星、蘋果等移動設(shè)備制造商為比賽提供獎金贊助。本次大賽將重點關(guān)注移動操作系統(tǒng)、手機瀏覽器和手機應(yīng)用APP的安全性問題。

　　大賽主要目的是希望安全研究人員、開發(fā)人員、以及黑客們通過廠商此前未知的漏洞來侵入其制造的移動設(shè)備，在成功攻破設(shè)備后，將漏洞細節(jié)按照國際遵循的“負責任的漏洞披露”流程匯報給相應(yīng)的設(shè)備廠商，以便廠商盡快對這些漏洞進行修補和修復，保護最終用戶。這些做好事的“黑客”也被稱為“白帽黑客”。

　　獎金池總額50萬美金，冠軍拿到獎金21.5萬美元

　　本屆Mobile Pwn2Own大賽在賽制上進行了調(diào)整，獎金池總額超過50萬美金。參賽團隊共有3次嘗試機會，但每次嘗試不可超過5分鐘，也就是必須在15分鐘內(nèi)完成挑戰(zhàn)，相較于以往30分鐘內(nèi)無限次嘗試，本次比賽的激烈程度將大幅提升。此外，在攻擊面上，賽事組委會首次禁止參賽團隊從NFC、藍牙、應(yīng)用市場等簡單的面切入，只能以移動瀏覽器為入口進行攻擊。

　　騰訊科恩實驗室第一個拿下的是Google Nexus 6P。他們成功在Nexus 6P安裝了惡意應(yīng)用軟件，這為他們贏得102500美元獎金和29個積分。

　　隨后，團隊又在iPhone 6S安裝了惡意應(yīng)用軟件。但它沒能扛得住大家修手機最常用的一招——重啟。所以，這只算半個成功，有60000美元獎金，但沒有積分。

　　最后一項，他們再次攻擊iPhone 6S，導致手機照片泄露。這樣，騰訊科恩實驗室最終以45個積分和215000美元獎金的成績，成為本次比賽的“The Master of Pwn”。

　　神秘的科恩實驗室

　　比賽中，有一個數(shù)據(jù)被外人津津樂道。團隊在遠程攻破Nexus 6P時，僅僅花了十秒鐘的時間。這聽起來簡直是不可完成的任務(wù)。

　　但其實，攻擊代碼是賽前早已經(jīng)準備好的，上場就是操作一下。有人把它比喻成，你先在家寫好PPT，然后到現(xiàn)場演講。勝負取決于你PPT的質(zhì)量，而不是花多少秒去演講PPT。

　　騰訊科恩實驗室成立于2016年1月，其成員主要來自于大名鼎鼎的安全研究團隊Keen Team。

　　實驗室官網(wǎng)上的一組數(shù)據(jù)能說明他們有多牛。

　　據(jù)不完全統(tǒng)計，自成立到2016年5月，科恩一共發(fā)現(xiàn)主流操作系統(tǒng)、瀏覽器、應(yīng)用軟件高危漏洞152枚。成員連續(xù)4年參加Pwn2Own并獲得8個單項冠軍。

　　浙大最厲害的黑客組織：“藍色刺客聯(lián)盟”

　　正在浙大讀大四的劉耕銘，當年以麗水市慶元縣第一名考入杭州外國語學校，隨后進入浙大。在浙大，他加入了一個重要的神秘組織——浙大AAA戰(zhàn)隊。

　　AAA是Azure Assassin Alliance的縮寫，中文意思是藍色刺客聯(lián)盟。何淇丹畢業(yè)前，也是AAA戰(zhàn)隊的成員。

　　別看著名字不洋氣，但這個聯(lián)盟聚集了整個浙大最厲害的“黑客”們。團員共有十幾人，不全是計算機學院的學生，有些來自數(shù)學、生物、電子等專業(yè)，全是信息安全的愛好者。

　　為了保證團員的質(zhì)量，AAA戰(zhàn)隊專門設(shè)置了一定的準入門檻。他們在網(wǎng)站上放了題目，只有做對一道題，才能獲取戰(zhàn)隊的聯(lián)系方式，加入組織。

　　靈魂人物：劉耕銘與何淇丹

　　本次科恩戰(zhàn)隊中的劉耕銘算得上是AAA戰(zhàn)隊的靈魂人物。

　　AAA戰(zhàn)隊經(jīng)常南征北戰(zhàn)，參加各種信息安全類的比賽。很多比賽要求選手在規(guī)定的幾十個小時內(nèi)完成指定任務(wù)，由于劉耕銘能力突出，承擔了重要的任務(wù)，所以常常熬夜打比賽。

　　劉耕銘的性格特別適合當一個黑客。他有個性，有耐心，對熱愛的事情非常執(zhí)著。所以還沒畢業(yè)，他就已經(jīng)被騰訊科恩實驗室挑中，成為其中一員。

　　師兄何淇丹的經(jīng)歷就更豐富了，除了跟隨科恩團隊參加國際頂尖賽事，他還于8月份受邀在頂級安全會議BlackHat USA和DEFCON上發(fā)表演講。

　　他把那次拉斯維加斯之行記錄在《白帽賭城演講記》一文里，稱兩場演講“解鎖了兩項人生成就”。

　　一直竊以為黑客都十分高冷，這兩位看起來真不像想象中的黑客�。〔焕⑹钦愦罄锍鰜淼娜瞬�，預祝他們在未來解鎖更多人生成就！