视频 | 攻破iPhone13！他们获网络安全大赛30万美元奖金

10月16日至17日，“天府杯”2021国际网络安全大赛暨2021天府国际网络安全高峰论坛在成都天府国际会议中心举行。本次大赛总奖金额创下全球网络安全同类大赛之最，达到150万美元，面向所有全从业人员公开征集参赛选手与参赛项目。

整场比赛分为产品破解赛和原创漏洞演示复现赛，参赛队伍在不同参赛项目中使用的安全漏洞不能重复，不得使用已公开漏洞。

产品破解赛环节，组委会按照题目难度大、漏洞影响范围广、对我国有特殊影响、体现网络安全发展趋势等原则，设置包含PC端、移动端、服务器端、IOT设备等在内的多道破解题目。iPhone、国产知名手机、国产办公软件、Adobe PDF Reader软件等常用办公软件，谷歌Chrome浏览器、苹果Safari浏览器等常见浏览器，以及智能路由器、智能音箱等IOT终端设备均在考题范围内。

原创漏洞演示复现赛环节，赛题涵盖智能家居、智能装备、车载设备、工控设备、远程教育、办公设备等多种类型，选手根据自身情况自由选报参赛项目。

在2021“天府杯”国际网络安全大赛期间，来自奇安盘古旗下盘古实验室的白帽黑客slipper，完成了iPhone 13的全球首次公开远程越狱，取得手机最高控制权限，斩获了截至目前全球各类网络安全大赛中最高单项奖金——30万美元。

“受害人只需在浏览器上点击一个链接，iPhone手机就会悄无声息的被黑客控制。”，作为本届天府杯期间最受关注和奖金最高的破解项目，该破解基于苹果手机最新机型iPhone 13 Pro，当用户点击攻击者精心伪造的一个链接之后，即可触发Safari浏览器远程代码执行漏洞，使得攻击者可以远程执行攻击命令。在绕过Safari浏览器防护机制之后，slipper再次利用了iOS15内核以及A15芯片的多个漏洞进行了组合攻击，成功绕过了多项安全防护机制，取得了iPhone 13 Pro最高控制权，可以随意获取信息，包括相册、APP等，甚至可直接删除设备上的数据或执行其他任意命令。在破解过程中，除了需要用户点击一个链接之外，没有任何其它交互操作，触发方式简单且整个破解过程耗时仅需1秒钟，因此对用户危害极大。

“天府杯” 作为国内综合影响力最强的实战型网络安全活动，吸引了奇安信、华为、百度安全、启明星辰、绿盟科技、天融信、360政企安全、永信至诚、亚信安全等国内头部安全企业广泛参与，天府国际网络安全高峰论坛集合三位中国工程院院士分享，主办60场精彩演讲，议题涵盖数字城市安全、实战化安全运营、AI安全、云原生安全、车联网安全、大数据安全治理、打击新型网络犯罪、网络安全人才培养等诸多热点领域。两天会期内，全面展示新一代网络安全技术的新动态、新成果和新经验，全国网络安全企业在各自领域、不同维度碰撞出网络安全技术的未来前景。

（看看新闻Knews记者：彭晔 游明灵）