発売直後のGoogle Pixel (Android 7.0)を60秒でハッキング – 賞金1200万円を獲得!

11月11日開催された2016 PwnFestで、発売されたばかりのGoogle Pixel (Android 7.0)が、中国人のハッカーによって、1分もかからず、あっという間にハッキングされた。

ハッキングに成功したのは、Qihoo 360のホワイトハッカーチームのメンバーで、彼らは、自分たちで作成したデモ用のエクスプロイトキットを使い、ゼロデイ脆弱性を利用することで、ターゲットPixelフォンのremote code execution (RCE) を実行した。

そのハッキングによって、Google Pixel上でGoogle Play Storeを開き、次にGoogle Chromeで「Pwned By 360 Alpha Team」と表示しているページを開いた。

Qihoo 360は、Google Pixel (Android 7.0)ハッキング成功により、12万ドル(約1200万円)の現金を手にした。

target-price

Googleは、現在、その脆弱性に対するパッチをあてるため、作業を進めている。

そのほか、Qihoo 360は、Windows10上のMicrosoft Edgeのハッキングも成功し、さらに、Adobe Flashのハッキングも成功している。

また、中国のiPhone脱獄チームPanguは、数々のiOS脱獄用ソフトをリリースしてきているが、今回は、MacOS Sierra上の特権のエスカレーションについての脆弱性を利用して、サファリ・ブラウザでルートアクセスを獲得した。

そのハッキング成功により、チームは賞金8万ドルを手にした。

ハッキング技術の詳細については、それぞれのハッキング対象となっているソフトウエア(またはプロダクト)のメーカーが、賞金と引き換えに入手して、セキュリティ対策の向上に役立てることとなる。

Qihoo 360チームは、今回の一連のハッキング成功により、52万ドル(約5200万円)を手にして会場を後にした。

参照:

http://thehackernews.com/2016/11/google-pixel-phone-hacked.html

http://pwnfest.org/