北京時(shí)間(jiān)3月19日， 在溫哥(gē)華舉辦的世界頂級黑(hēi)客大(dà)賽Pwn2Own上(shàng)，中國安全研究團隊Keen Team奪得(de)了世界冠軍。三屆Pwn2Own，Keen Team共累計(jì)奪得(de)了五個(gè)冠軍。Pwn2Own是全球公認級别最高(gāo)的黑(hēi)客大(dà)賽，而今年這一屆在黑(hēi)客圈內(nèi)被稱為(wèi)“史上(shàng)最難的一屆”。

在這場(chǎng)比賽裏，Keen Team選報了兩個(gè)項目：在IE環境下攻破Flash和(hé)攻破PDF閱讀器(qì)。比賽開(kāi)始後，Keen Team研究員Peter用30秒(miǎo)滅掉了第一個(gè)項目；另一位研究員陸吉輝則聯手騰訊電(diàn)腦(nǎo)管家(jiā)團隊，用60秒(miǎo)完成了第二項任務。

我們先來(lái)科普一下Pwn2Own。這個(gè)賽事由美國五角大(dà)樓網絡安全服務商、惠普旗下TippingPoint的項目組ZDI主辦，面向全球所有(yǒu)黑(hēi)客。谷歌(gē)、微軟、蘋果、Adobe等巨頭都是該賽事的贊助商。比賽規則是參賽者制(zhì)作(zuò)一個(gè)網頁，能夠在浏覽器(qì)訪問時(shí)控制(zhì)電(diàn)腦(nǎo)彈出一個(gè)高(gāo)權限程序，來(lái)證明(míng)浏覽器(qì)存在漏洞。

那(nà)麽，問題來(lái)了。

Keen Team是何方神聖？
 

Keen Team所在的上(shàng)海碁震雲計(jì)算(suàn)科技(jì)有(yǒu)限公司是一家(jiā)成立于2011年的“白帽”黑(hēi)客公司，成員不足30人(rén)。“Keen Team的工作(zuò)就是進行(xíng)漏洞挖掘和(hé)漏洞利用。”Keen Team的一位成員解釋說。相對于專門(mén)攻擊計(jì)算(suàn)機安全系統并以此獲利的“黑(hēi)帽”黑(hēi)客，“白帽”黑(hēi)客專注信息安全研究，以幫助企業發現、修複漏洞為(wèi)商業模式。

成立以來(lái)，Keen Team為(wèi)谷歌(gē)、微軟、蘋果等公司的主流軟件排查出過數(shù)百個(gè)嚴重安全漏洞，在2014年12月正式成為(wèi)Google Project Zero第一個(gè)合作(zuò)的亞洲夥伴，這意味着中國安全研究團隊的實力獲得(de)世界最高(gāo)水(shuǐ)平安全社區(qū)的認可(kě)。

在去年10月周五，一場(chǎng)名為(wèi)“安全極客嘉年華暨GeekPwn”的活動上(shàng)，Keen的CEO王琦現場(chǎng)演示了如何攻破特斯拉的系統。在王琦演示中，隻要通(tōng)過手機打開(kāi)網頁，就可(kě)以遠程讓一輛(liàng)特斯拉打開(kāi)車(chē)門(mén)、後備箱，讓正向行(xíng)使的汽車(chē)突然倒車(chē)，甚至熄火(huǒ)失控。王琦說，他的團隊共有(yǒu)10個(gè)人(rén)用了4個(gè)月的時(shí)間(jiān)發現了這個(gè)漏洞。一個(gè)月後，特斯拉總部給遠在上(shàng)海的Keen送來(lái)了安全獎章。

”Keen為(wèi)iOS排查出的漏洞比蘋果自己排查出的還(hái)多(duō)。“Keen的戰略合作(zuò)方、騰訊電(diàn)腦(nǎo)管家(jiā)的相關人(rén)士說。Keen的安防能力也正是騰訊對其青睐有(yǒu)加的原因。目前微信的賬号登錄、微信紅包等功能的最後一道(dào)安全防護，是由Keen來(lái)為(wèi)其把關。