據(jù)報(bào)道，在第四屆“天府杯”國(guó)際網(wǎng)絡(luò)安全大賽上，奇安盤(pán)古旗下盤(pán)古實(shí)驗(yàn)室的白帽黑客slipper完成了iPhone 13 Pro的全球首次公開(kāi)遠(yuǎn)程越獄，取得手機(jī)最高控制權(quán)限，破解后可以任意獲取手機(jī)的信息，包括相冊(cè)、App等，甚至可以直接刪除設(shè)備上的數(shù)據(jù)，且整個(gè)破解過(guò)程只需1秒，成功斬獲包括“天府杯”在內(nèi)的各類(lèi)網(wǎng)絡(luò)安全大賽歷史最高單項(xiàng)獎(jiǎng)金30萬(wàn)美元。

　　經(jīng)過(guò)兩天的激烈角逐，10月17日，由華為、百度、阿里巴巴、清華大學(xué)、中科院信息工程研究所、國(guó)家工業(yè)信息安全發(fā)展研究中心、天融信、成都天投集團(tuán)等主辦，中國(guó)網(wǎng)安、智聯(lián)招聘等協(xié)辦的“天府杯”2021國(guó)際網(wǎng)絡(luò)安全大賽落下帷幕。“天府杯”國(guó)際網(wǎng)絡(luò)安全大賽致力成為全球第一的破解比賽，面向所有安全從業(yè)人員公開(kāi)征集參賽選手與參賽項(xiàng)目。大賽共設(shè)立150萬(wàn)美元的獎(jiǎng)金，包含PC端、移動(dòng)端與服務(wù)器端三大項(xiàng)，以及虛擬化軟件、操作系統(tǒng)軟件、瀏覽器軟件、辦公軟件、移動(dòng)智能終端、Web服務(wù)及應(yīng)用軟件、DNS 服務(wù)軟件、共享管理類(lèi)服務(wù)軟件等八大類(lèi)別。本次比賽吸引了50多支戰(zhàn)隊(duì)，200多名隊(duì)員報(bào)名參賽。

　　針對(duì)蘋(píng)果手機(jī)最新機(jī)型iPhone 13 Pro的破解，稱(chēng)得上是本屆天府杯期間最受關(guān)注和獎(jiǎng)金最高的破解項(xiàng)目，據(jù)參賽者slipper介紹，當(dāng)用戶(hù)點(diǎn)擊攻擊者精心偽造的一個(gè)鏈接之后，即可觸發(fā)Safari瀏覽器遠(yuǎn)程代碼執(zhí)行漏洞，使得攻擊者可以遠(yuǎn)程執(zhí)行攻擊命令。

　　在繞過(guò)Safari瀏覽器防護(hù)機(jī)制之后，slipper再次利用了iOS15內(nèi)核以及A15芯片的多個(gè)漏洞進(jìn)行了組合攻擊，成功繞過(guò)了多項(xiàng)安全防護(hù)機(jī)制，取得了iPhone 13 Pro最高控制權(quán)，可以隨意獲取信息，包括相冊(cè)、APP等，甚至可以直接刪除設(shè)備上的數(shù)據(jù)或者執(zhí)行其他任意命令。

　　值得注意的是，盡管在整個(gè)破解過(guò)程中，slipper利用了Safari瀏覽器以及iOS內(nèi)核等多個(gè)漏洞進(jìn)行組合攻擊，但這個(gè)攻擊的觸發(fā)方式非常簡(jiǎn)單，僅僅只需要用戶(hù)點(diǎn)擊一個(gè)鏈接，整個(gè)破解過(guò)程僅需1秒鐘，對(duì)用戶(hù)危害極大。從iPhone 4到iPhone 13系列機(jī)型，從iOS 7到iOS 15，依托于多年的移動(dòng)安全實(shí)戰(zhàn)攻防能力和經(jīng)驗(yàn)，盤(pán)古實(shí)驗(yàn)室一直保持著第一時(shí)間攻破的能力。

　　這次大賽中，奇安盤(pán)古獲得最具價(jià)值產(chǎn)品破解獎(jiǎng)以及最佳產(chǎn)品破解獎(jiǎng)二等獎(jiǎng)。值得一提的是，在這次大賽中獲得最佳產(chǎn)品破解獎(jiǎng)一等獎(jiǎng)的“昆侖實(shí)驗(yàn)室”相繼攻破了Chrome、Adobe PDF Reader和Windows 10。昆侖實(shí)驗(yàn)室實(shí)現(xiàn)了Chrome瀏覽遠(yuǎn)程URL，并控制瀏覽器或系統(tǒng)。此外，昆侖實(shí)驗(yàn)室僅僅用了6秒鐘，就成功攻破Windows 10。

　　在上周，蘋(píng)果曾公開(kāi)強(qiáng)調(diào)自己相比安卓有多么安全，引援報(bào)告稱(chēng)安卓設(shè)備惡意軟件感染率是iPhone的15~47倍，如今的比賽結(jié)果一出，有網(wǎng)友評(píng)論道：“蘋(píng)果比安卓安全47倍，破解起來(lái)也快47倍？”你怎么看呢？