文 | 文史充电站

编辑 |文史充电站

今年10月27日，Pwn2Own温哥华黑客大赛正式结束。令人意想不到的是安卓系统下的所有机型，竟然全部都被攻破。而苹果手机的IOS系统和华为的鸿蒙系统却根本没有人愿意去入侵。[黑脸]

这样的结果似乎与我们认知中的移动系统安全结果并不一致，在日常生活中即便是苹果手机也难免遭受各种骚扰。有的时候甚至可能因为一个电话或者点到了一些不知名的链接，就能让整个手机受到各种广告的骚扰。

为什么在这样的国际性比赛中，竟然没有一个人敢去攻击苹果系统。到底是因为苹果系统的安全性太高，导致没有人成功破解？还是在比赛的过程中，存在着一些不为人知的力量阻碍选手的选择方向？

01
主办方竟然是他

其实在这场比赛的背后，主办方的名气对于全球而言都是非常出名的。也就是我们所熟知的国际最大的情报安全机构，美国五角大楼网络安全服务商负责主办，同时承担的还有我们所熟知的游戏“植物大战僵尸”的开发商，惠普公司的安全组织。

作为一场世界级的黑客比赛，Pwn2Own黑客大赛不但内部有非常多的著名海外黑客。同时还有着来自欧美地区的大量“知名支持者”，为比赛提供不同方式的赞助。而比赛的奖金也是相对而言比较多的。

美国自称“世界和平保护者”，对于其他远道而来的参赛选手自然也会有非常优越的待遇。其中准备的奖金就能够高达上百万美元，这样的金额对于普通人而言，应该可以说是非常高了。

但实际上一个零日漏洞在IT行业的实际价格，最高单个漏洞就可以在商业上获得大约200万人民币的天价。即便是一个不起眼或者影响不大的零日漏洞，一旦被挖掘出来在我国国内的价格也可以高达20多万元。并且没有任何工具方面的限制，只要在国内能攻破就能够获得这些奖金。

而美国对其他参赛方的要求，则是较为保守。为了保证每个人都能够拿出来自己的真材实料，要求每位参赛选手都要自己去手写程序破解。不允许使用Kali Linux或者是九头蛇这样的网络安全分析专用系统，并且有一个特殊要求。

就是要让每位参与的比赛选手，为了保证自己不在赛场上违规。要在比赛的过程中把自己写出来的程序，全部在比赛结束之后提交给主办方进行审查。同时为了防止比赛中出现的代码看不懂，要求选手要把关键的程序片段写明注释。

可见五角大楼的这场比赛，为了比赛的公平公正。真的是花费了巨大的心血，美国对于这样的国际性比赛，自然也是相当重视。而且为了在信息安全方面表现诚意，美国甚至不惜花大价钱，邀请我国的一些开发商也参与。

但是毕竟我国作为一个礼仪之邦，面对这样激烈而且残酷的厮杀比赛，也不太可能去主动参加。一方面是我国面对欧美国家的计算机发展，比不过欧美计算机的发展历史。另一方面也是在国内有我国自己的比赛，毕竟我国的信息安全问题都比较多。

并且国内一般情况下也很少用程序，即便是真正国内攻防大赛。我国也是用国内早已准备好的工具去编写，或者是直接使用国内自主研发的工具进行模拟攻击，也就无法参与美国这样的比赛。

并且在我国的大多数企业中，同样的一种漏洞如果在国内发现。企业方给的回报奖金自然要比在比赛中给的回报奖金要高很多，有了这样的奖励，为何还要花大价钱远赴国外参加同种类型的比赛？

同时在美国的比赛过程中，还有一条不成文的规定。也就是在比赛的时候，一定要给足主办方面子。全完不能为了凸显自己的实力，而去对主办方“打脸”，否在在美国迎来的，将会是非常优厚的“长期居住”作为回报。

在10月27日之后，比赛正式落幕，结果也非常惊人。在众目睽睽之下，比赛选手全部都选择了去攻击各种不同型号的安卓手机。同时小米旗舰机、三星，以及其他不同的安卓机型全部遭到攻击，但是有意思的是苹果的IOS系统和Mac系统却没有一位选手报名攻击。

02
苹果和鸿蒙无人问津

其实同样幸免于难的还有我国的一种手机系统，也就是华为自主研发的鸿蒙系统。这不免会让人感到疑惑，苹果系统没有人入侵自然属于再正常不过的事了，但是华为的设备为什么也没有人入侵？

其实可能说出来原因之后，美国五角大楼就要被笑没到脸见人。其实华为手机也有着属于自己的“奖金池”，而且华为的奖金也非常丰厚。仅仅一个普通的安全漏洞，奖金就能够高达150万人民币。而如果是零日漏洞，奖金最高甚至可以达到800万元人民币。

面对这样的奖励，与参赛者在比赛中拿到的几万美元或者是十几万美元的奖金相比，实在是少得可怜。甚至相比于华为的奖金而言，Pwn2Own的比赛奖金根本就拿不上台面。更何况一个企业的奖金就能够比一个国际比赛的奖金要高，这当然会让选手宁愿去攻击华为也不愿意参加比赛。

同时由于美国的禁止，华为的鸿蒙系统在欧美国家几乎可以说是停止售卖。甚至被列为了禁用手机产品，对于欧美国家的大多数人而言当然也就接触不到最新版的鸿蒙系统。面对旧版本的鸿蒙系统，也很少有人在国外使用，自然也就没有人会去报名攻击鸿蒙。

美国五角大楼这样的做法自然也就不足以引起大多数人对鸿蒙系统的重视，相反他们更倾向于去挑战华为的奖金池。但是苹果设备没人敢去攻击，这件事就大有来头。其实这次的五角大楼与惠普公司的比赛，本身就是给自己的棱镜计划进行推广。

而苹果公司的设备，正是这一计划的主要设备输送公司。为了能够让五角大楼的棱镜计划进一步扩大实施，自然也就不会有人敢从这方面去打脸美国。参赛选手总不可能在美国的家中，当着全世界的面去打美国的脸。

毕竟这场比赛是在加拿大进行的，参赛人员可能稍有不慎就会得到美国评委的奖励。在比赛结束之后还可能会被送往美国，享受几个月到百年不等的“度假时光”。同时也可能被美国用现代化设备超度，提前去找美国心目中的上帝报到。

面对这样的情况，自然也就不会有人敢去攻击苹果公司的设备。即便是敢攻击，那也不会在比赛中当着美国评委的面去攻击。所以在比赛中的受害者，自然也就变成了谷歌公司的安卓和微软公司Windows两个系统。

03
安卓全军覆没

在比赛中，被攻击最惨的一个就是大多数人都在用的安卓系统。除了美国的攻击方式之外，最重要的就是安卓本身的一个技术特点。对于大多数人而言应该都不会相信，其实安卓系统的底层程序一向都是对外完全公开的。

这种公开的方式在IT行业内也叫做开源，开源程序相比于其他程序而言修改方式显得就更加灵活。而且安卓开发所采用的编程语言不论是Java还是Kotlin也都同样属于免费且开源的编程语言，一旦把这种系统改为封闭式的或者说闭源代码。

随之而来的便会是各种兼容性出现问题，并且这些问题还是由于底层不兼容而导致的。即便是进行了修复在后期的版本升级中，也很难对新的安卓型号设备进行兼容。这也就导致安卓在运行的过程中，可以对其进行任意修改。

并且安卓也是在另一个开源系统Linux的基础上发展起来的，目前这样的系统本身也由于开源而存在各种问题。系统不仅可以随意修改，还可能会因为自己的设计缺陷或者程序本身所存在的缺陷，导致系统在修改的过程中漏洞越来越多，甚至到最后根本无法补救。

而Linux系统在迁移到安卓系统的过程中，自然也就会受到底层C语言的指针漏洞以及Java的内存、网络服务等漏洞影响。在安卓系统内出现各种潜在问题，即便是一个普通人整我一定技术之后也能够或多或少找到安卓系统中存在的漏洞。

并且在这场黑客大赛中，比赛规则明确可以使用拒绝服务类型的攻击。这么说可能很多人都不理解具体是怎样攻击的，其实这种攻击方式人人都可以做到。拒绝服务攻击，本质上就是经常听说到的DDOS攻击方式。

也就是无限次数去请求同一个IP地址，或者向这个IP地址的某一个指定端口发起访问。直到这个IP地址的请求多到无法处理，这样网络也就会彻底被毁坏。其实也就是在计算机中无限使用“ping”命令的方式占据内存，其难点只是在前期需要扫描端口而已。

这也就造成了安卓经受不了这样的洪水攻击，最终导致全部瘫痪。即使是一个小学生，学会这种命令的用法也可以对任何设备进行这样的攻击。就算把攻击换成苹果的IOS和Mac系统，同样也难逃瘫痪的命运。

但这场比赛的本质，真的是为了展示安卓的“脆弱”吗？这对于接触过信息安全的人而言，一眼就能够看得出来只是为了宣传苹果设备而已。

04
比赛背后的真实目的

实际上这场比赛更多的是给美国的苹果公司和五角大楼“长脸”，而苹果公司在最近几年的收入确实也由于安卓和鸿蒙的发展逐渐开始下滑。美国五角大楼看着自己的合作伙伴销量逐渐变差，自然也就不会坐视不管。

同时美国也可以借助这样的比赛，来收集参赛国家的攻击代码进行研究。并用这些攻击思路在之后的信息战中，面向其他的国家或地区进行大规模攻击。甚至能够在开战的瞬间，让自己的对手丧失行动能力。

在这次比赛中，应该不会出现大量APT类型黑客组织的成员。例如：有着黄金鼠称号的APT27，以及前段时间在亚太地区频繁活动的AFX黑客团队。即便是美国的影子团队，也不会以这样的身份出席。毕竟这样的团队敢出面的话，可能在比赛结束之后就能够领取到美国的牢狱，或是软禁大礼包了。

当然，由于我国的特殊情况所限制，国内大量的黑客也不会出现在现场。自然也就看不到红客联盟的Lion、管子，中国零日联盟前创始人星河，以及后来的京昌等人出现。

如果这些人能够到现场参与比赛，那时候别说是苹果的IOS以及Mac系统了。即便是华为的鸿蒙系统，也会在短时间内被找到多个漏洞。