小白号10月16日,有消息称,在第四届“天府杯”国际网络安全大赛期间,来自齐安盘古旗下盘古实验室的白帽黑客slipper完成了全球首个iPhone 13的公共远程越狱,获得了手机的最高控制权,并获得了30万美元的最高单项奖。
据介绍,作为本次天府杯期间最受关注的破解项目和最高奖,本次破解基于苹果手机最新型号iPhone 13 Pro。当用户点击攻击者精心伪造的链接时,可以触发Safari浏览器的远程代码执行漏洞,使攻击者能够远程执行攻击命令。
slipper在绕过Safari浏览器的保护机制后,再次利用iOS15内核和A15芯片的多个漏洞进行组合攻击,成功绕过多重安全保护机制,获得了iPhone 13 Pro的最高控制权,可以随意获取信息,包括相册、app等。,甚至直接删除设备上的数据或执行其他任意命令。
更值得注意的是,虽然slipper在整个破解过程中利用了Safari浏览器、iOS内核等多个漏洞进行组合攻击,但是除了点击一个链接之外,并没有其他的交互操作,而且触发方式非常简单,整个破解过程只需要一秒钟,因此对用户的危害极大。
事实上,无论是苹果的A系列芯片等硬件,还是iOS系统、Safari浏览器等一系列软件,苹果每一次重大升级的背后,安全提升都是重要原因。然而,漏洞是不可避免的。从iPhone4到iPhone13系列机型,再到iOS7到iOS15,依托多年的实战攻防能力和移动安全经验,盘古实验室始终保持第一时间突破的能力,凸显盘古实验室强大的移动漏洞攻防能力。
此外,在今天上午结束的Adobe PDF Reader破解项目中,slipper构造了一个PDF文件,当用户打开该文件时,他可以远程执行任何命令。经过第一天的比赛,赤岸盘古队排名第一。
评论前必须登录!
注册