法國駭客疑似利用Flash攻破Google Chrome - Android 台灣中文網

6819839868_178d9cfc7e_m.jpg (13.07 KB, 下載次數: 0)

2012-3-10 11:27 上傳

來自法國的駭客，在年度Pwn2Own駭客大賽開賽第一天，便成功解鎖Google Chrome。(Image credit：DailyGossip)

Google曾在2月底時對駭客社群發出總獎金高達100萬美元的懸賞令—賞給能夠解鎖Google Chrome安全設計的駭客，而這場比賽原訂要在年度Pwn2Own駭客大賽期間舉行，不過顯然是百萬美元的賞金太過誘人，因此不過就在比賽開賽第一天，就有來自法國的駭客成功解鎖了Chrome瀏覽器。

有趣的是，在前幾屆的Pwn2Own大賽中，沒有人曾經把Google Chrome當成解鎖、攻陷的對象。官方的解釋則是，Google Chrome大概是沒什麼弱點，但其他各種各樣的軟體，從微軟的IE到蘋果的Safari，則顯然都有些弱點可拿來玩玩。

或許正是因為如此，Google Chrome團隊的天才工程師們認為，他們必須吸引專家中的專家、駭客中的駭客，因為當Chrome團隊驕傲地展示自己「未曾在過去的比賽中遭到攻破的紀錄同時，其實也代表了在沒有被攻擊的狀況下，很難保持學習、繼續進步。」於是Google採用了在其他產業相當普遍的作法：若要好的結果，就得提供足夠的誘因。於是，這群法國的駭客們，便給Google上了一課，協助Google「保持學習、繼續進步」。

Pwn2Own是在年度資訊安全盛會CanSecWest中的一項競賽。在溫哥華舉行的這場研討會中，被Google的賞金吸引而來的駭客隊伍Vupen把所有的精力都鎖定在攻破Chrome上。在參加比賽前，該團隊已經花了6個星期研究如何攻擊Chrome，最後也真的成功解鎖。

他們使用了兩種零時差手法，加上一個經特別設計的誘餌網站，使用者一旦透過Chrome連上這個網站，便會在Chrome本身的安全沙盒外，開啟一個Chrome的延伸套件。用簡單的話說，便是Vupen的手法能夠取得對Chrome安全沙盒的完整控制。

不過Google並不承認Vupen的確駭進了Chrome，理由是這組人馬並未遵守比賽的規則。爭議的重點在於，Vupen用來證明成功駭入Chrome的影片中，有提到要感謝使用了某些程式碼，但這些程式碼並不符合大會規範。有專家表示，這些程式碼看起來像是Flash，換言之，Vupen得依賴Flash才能成功取得Chrome的控制權。

Vupen共同發起人Chaoki Berkrar承認這個任務一點也不容易，他表示：「Chrome的安全沙盒是現有最安全的一個。要創造一個能夠繞過所有沙盒安全設計的解鎖手法，真的非常不簡單。」

其它小分享:

(內建軟體全分享-導覽)
***HTC Sensation(內建軟體全分享)- Android 2.3.4
>>> http://apk.tw/thread-60288-1-1.html
***Sony Ericsson Xperia arc S (內建導覽)- Android 2.3.4
>>> http://apk.tw/thread-46146-1-1.html
***HTC EVO 3D (內建導覽 )- Android 2.3.4
>>> http://apk.tw/thread-45541-1-1.html
***Sony Ericsson Ray (內建導覽)- Android 2.3.4
>>> http://apk.tw/thread-45545-1-1.html
***HTC Sensation XE (開箱及內建軟體全分享)- Android 2.3.4
>>> http://apk.tw/thread-35194-1-1.html
***HTC Sensation XE (開箱及內建軟體)
>>> http://apk.tw/thread-35203-1-1.html
***Sony Ericsson Xperia PLAY (內建導覽)- Android 2.3.4
>>> http://apk.tw/thread-47362-1-1.html
***HTC Wildfire S CDMA (內建導覽)- Android 2.3.4
>>> http://apk.tw/thread-34433-1-1.html
***HTC Explorer (內建導覽)
>>> http://apk.tw/thread-34405-1-1.html
***MUCHTEL A2 雙卡雙待智慧好選擇(內建導覽)- Android 2.2.2
>>> http://apk.tw/thread-57298-1-1.html
***TaiwanMobile Fantastic T3(內建軟體全分享)- Android 2.3.5
>>> http://apk.tw/thread-63767-1-1.html

(軟體)
***各式介面~ 免刷機 (也可安裝在其他的手機上)-02
>>> http://apk.tw/thread-54847-1-1.html
***AndroMoney 記帳本 ( IsAiZan v1.0.10 升級改版)-版本: 1.3.0
>>> http://apk.tw/thread-51405-1-1.html
***MobileHome 行動備份器 II (通話紀錄簡訊聯絡人日曆)-版本 2.4.4
>>> http://apk.tw/thread-50593-1-1.html
***MobileHome 行動備份器 II (通話紀錄簡訊聯絡人日曆)-版本 2.4.0
>>> http://apk.tw/thread-50046-1-1.html
***MobileHome 行動備份器 II (通話紀錄簡訊聯絡人日曆)-版本 2.3.3
>>> http://apk.tw/thread-32347-1-1.html
***每日記帳本 V.0.9.7-0702-freshly
>>> http://apk.tw/thread-29255-1-1.html
***IsAiZan v1.0.10 (記帳軟體)
>>> http://apk.tw/thread-29250-1-1.html
***可愛女傭電量
>>> http://apk.tw/thread-33161-1-1.html
***最新版本-可放大縮小等... (藍牙助手 v4.90)
>>> http://apk.tw/thread-34166-1-1.html
***全景拍照:Pano 1.0.5a已付費版
>>> http://apk.tw/thread-34205-1-1.html
***3D全景照相機:Photaf 3D Panorama Pro 3.0.0已付費版
>>> http://apk.tw/thread-34210-1-1.html
***簡訊(備份+恢復+檢視) SMS Backup & Restore
>>> http://apk.tw/thread-34237-1-1.html
***各式介面~ 免刷機 (也可安裝在其他的手機上)
>>> http://apk.tw/thread-33667-1-1.html

<另外的分享>
***遇見台灣- (上) 附贈密碼
>>> http://apk.tw/thread-48603-1-1.html
***遇見台灣- (下) 附贈密碼
>>> http://apk.tw/thread-48608-1-1.html

作者: elit888 時間: 2012-3-10 19:47
這群法國的駭客們，便給Google上了一課，協助Google「保持學習、繼續進步」。

這一句話真有趣

不過道高一尺魔高一丈有些說不定根本不希罕那賞金

作者: rtyu75632 時間: 2012-3-11 12:50
對駭客來說那是一種成就感

哈哈哈

歡迎光臨 Android 台灣中文網 (https://apk.tw/)