持續對抗惡意攻擊、努力保護企業和一般消費者的全球網路資安解決方案領導廠商趨勢科技,今天為旗下的 Zero Day Initiative 零時差漏洞懸賞計劃舉辦的 Mobile Pwn2Own 大賽發出公告。這項比賽專門獎勵資安研究人員示範與揭露有關最新熱門行動裝置的零時差攻擊。
今年的比賽將於 11 月 1 至 2 日在日本東京 PacSec 2017 Conference 研討會期間舉行。參賽者只要能夠揭露並示範熱門行動平台最新版本的漏洞與漏洞攻擊技巧,即有機會獲得現金及獎品。今年鎖定的目標有:Apple iPhone 7、Samsung Galaxy S8 以及 Google Pixel 。
比賽過後,行動裝置廠商將有 90 天的時間可以針對這些漏洞釋出修補更新,而非標準的 120 天揭露流程,更能符合在競賽中所揭露漏洞的真實危險。由於這些漏洞的危險性已經由研究人員透過實際攻擊而獲得證明,因此縮短揭露流程有助於更早加以防範來保障使用者安全。
趨勢科技威脅研究副總裁 Mike Gibson 表示:「趨勢科技鼓勵並支持零時差漏洞揭露工作。獎勵負責任的揭露方式,有助於推動我們致力提升網路安全的願景。凡是參加這項競賽的研究人員都有機會享有名氣並獲得高額獎金,而廠商也能藉此機會修補其系統中可能帶來嚴重後果的一些零時差漏洞。」
為了強調隨時保持警戒與負責任揭露的重要性,今年甚至提供了比以往更高的獎金,總獎金超過50萬美元。比賽將分成瀏覽器、近距離與 WiFi、訊息,以及今年再度回歸的基頻 (baseband) 等四大類別。
除了標準類別和獎金之外,還有一些額外獎勵項目,例如:以系統核心權限執行程式碼,以及攻擊方式可延續至重新開機之後。藉由這些額外獎勵項目,參賽者就有機會藉由每一項的漏洞攻擊來累積更多點數,邁向「Master of Pwn」駭客大師之路。