全球招募白帽黑客高手
总奖金池200万元
作为全球领先的信息与通信基础设置和智能终端提供商,华为始终保持对基础研究、新技术以及人才培养方面的大力投入。华为每年都将 5% 的研发预算用于网络安全。2018 年,华为正式对外发布了“华为终端安全奖励计划”,GeekPwn Lab 成为其首批合作伙伴。
2019 年,GeekPwn 联合华为终端漏洞奖励计划发起“极棒·华为智能设备安全挑战专场赛”,欢迎广大白帽子为华为全线智能设备进行安全漏洞检测,共同为提升华为产品安全性以及保护广大用户贡献力量。
比赛规则
比赛形式
华为指定一系列终端 IoT 产品和生态合作智能产品作为目标,选手需利用攻击目标的安全漏洞,在合理的攻击条件下,实现越权控制、越权访问数据、突破原有安全机制或者引导目标作出错误决策等。比赛已于7月24日在上海举办。
设备清单
本挑战包括华为终端 IoT 产品,集成华为 HiLink SDK 的第三方智能设备,以及华为智能家居HiLink 平台相关应用,手机产品,详细范围如下:
华为终端 IoT 产品和生态合作智能产品列表
AI音箱
华为AI音箱
荣耀YOYO智能音箱
路由器
华为路由Q2 Pro
华为路由WS5200/增强版
荣耀路由Pro2
CPE
华为4G路由2
E5
华为随行 WiFi2 畅享版
门锁
汇泰龙智能指纹锁
摄像头
海雀AI全景摄像头
华为手机产品
Mate系列
Mate 20 RS
Mate 20 pro
Mate 20 X
Mate 20
Mate RS
Mate 10 Pro
Mate 10
P系列
P20 Pro
P20
P30
P30 Pro
nova系列
nova 4
nova 3i
nova 3
nova 2s
nova 3e
畅享系列
畅享9 Plus
畅享8 Plus
畅享7s
麦芒系列
麦芒7
麦芒6
荣耀系列
荣耀 V20
荣耀 10 青春版
荣耀 Magic2
荣耀 8X
荣耀 Note10
荣耀 9i
荣耀 Play
荣耀 10
荣耀 V10
荣耀 9 青春版
*
清单会定期刷新,请及时关注。
优胜评定
1. 报名选手的目标,限于设备厂商原生系统、应用或者原生的安全模块。目标设备或者目标安全模块的固件版本等于或高于报名截止日(2019 年 7 月 14 日)的最新版本,并且为缺省配置。
2. 参加活动所使用的技术手段须为自主实现,公开或者已知的 PWN 技术手段不能作为本次活动的优胜标准,获胜选手在领取项目专项奖励前须向 GeekPwn 评委会提交相关技术手段的详细说明。
3. 当多组选手攻击同一个目标设备时,通过抽签随机决定选手的参赛顺序。如果演示成功,评委会审核该项目中使用的漏洞是否已经在当天的比赛中被用过,仅使用该漏洞的首位选手可以获得此漏洞对应的奖金。
4. GeekPwn 评委会根据选手项目的思路新颖程度、技术难度(例如:通过各类信道劫持,无需用户主动交互的技术手段)和实现结果的影响等因素提供的奖励。
设备申请
研究者可以向赛事组委会申请部分比赛设备,通过组委会评审和实名认证后,可以免费租借目标设备作为研究使用。若成功攻破(PWN)、成功展示,可直接获得该设备,不必返还。可租用设备数量有限,如果无法获得免费租用设备,选手可自行购买设备研究,若成功攻破、成功展示,将以包含在奖金中的形式对设备费用报销。
设备申请已经于 2019 年 5 月 31 日结束。
参考实例
一个漏洞绕过人脸识别门禁
选手利用漏洞获得系统控制权限,修改人脸信息,轻松骗过系统,解锁门禁。(GeekPwn2017 上海站项目)
家用路由器的漏洞利用
选手利用路由器漏洞远程获得最高权限。(GeekPwn2014-2017项目)
九个漏洞利用PWN 到 TrustZone
选手诱使用户安装恶意程序,利用 TrustZone 中存在的输入校验安全漏洞导致 TrustZone 中用户数据被任意读写,任何人可以指纹解锁手机。(GeekPwn2016 上海站项目)
*
更多挑战项目,如摄像头、路由器、智能锁、AI音箱等,请参考  名人堂  往届项目
参赛流程
报名参赛
报名截止时间: 2019 年 7 月 14 日
选手报名: 已结束
评委初审: 极棒组委会根据报名信息在五个工作日内完成对报名项目的评审。
复审确定: 一旦报名项目确定,比赛时将由主办方准备目标设备以及展示环境。
*
报名参赛过程中有任何疑问,请发送邮件至:cfp@geekpwn.org

© 2019 GeekPwn 组委

KEEN 碁震(上海)云计算版权所有

沪ICP备12003057号-3