中国最大规模的国际智能设备挑战赛-GeekPwn已经正式结束,在2014年10月24和25日连续两天,GeekPwn展示了包括iOS8越狱首秀、70款主流智能手机一次性被攻破、特斯拉无人驾驶、攻破360安全路由器、攻破极路由、攻破360儿童卫士2、实现斯诺登的手机关机窃听行为等诸多精彩环节。
安全领域的知名白帽子TK教主发出一条微博,回应了外界对于GeekPwn的一些“质疑”。
下为TK教主微博的全文。
关于对 GeekPwn 的两点“质疑”
2014年10月26日 13:23
2014 年 10 月 25日,也就是 GeekPwn 的第二天,有媒体的朋友联系我,说有 GeekPwn 项目相关厂商找到他们,对以下两点提出质疑:
1、宣布选手挑战成功,但又不说具体技术细节;
2、“到现在”也没有将漏洞信息发给相关公司。
这两点“质疑”乍一看非常有理,细一想十分荒谬。
1、漏洞细节当然不能现在就公布。安全研究者和厂商们合作这么多年,形成“负责任的漏洞披露(Responsible Disclosure)”这一共识,其中第一原则就是不能在通知厂商前公开漏洞细节。其实,即使不知道这一共识,我相信任何厂商也绝不希望漏洞细节就这样被公开。所以,对这样奇怪的质疑,我觉得非常难以理解。
2、GeekPwn 不光“到现在”都没有将漏洞信息发给相关公司,甚至还“到现在”都没给选手发奖呢。你们猜是为什么?因为“到现在”活动刚进行到一半。你大学二年级的时候会质疑为什么“到现在”学校都不发毕业证吗?
因为这两点质疑实在太荒谬,所以我给那位媒体的朋友稍加解释,他就明白了。另外我还告诉他:为尽可能保证技术上的严谨,选手现场挑战成功后,GeekPwn 会安排专门的技术人员进一步向选手了解技术细节;并在所有项目结束后,组织评委团作最后评议;对确认是漏洞的项目,把内容整理好后,会陆续联系厂商,进行漏洞报告的流程。
接下来说点别的。
锤子科技的 Smartisan T1 是本次 GeekPwn 活动中被挑战的唯一手机产品,并且挑战成功,选手获得 6 万元奖金——那么多手机产品,为什么 GeekPwn 仅仅选择 Smartisan T1 呢?GeekPwn 的赞助商中,有华为、联想这两家国内的手机制造商——是不是 GeekPwn 收了赞助,所以为了抹黑锤子手机才这么干的呢?
答案是:GeekPwn 项目中出现 Smartisan T1,只是因为选手报名时提交的就是这个。
GeekPwn 从来没有要求选手必须挑战什么产品,所有产品都是参加活动的选手根据自己的研究,在报名时提交的。所以,GeekPwn 在收到选手的报名后,甚至因为一时买不到 Smartisan T1 而发愁。你们猜最后用于活动的 Smartisan T1 是从哪儿来的?
GeekPwn 试着向锤子科技求助,而锤子科技非常慷慨大度地提供了两台 Smartisan T1。并在选手挑战成功后,公开表示了对 GeekPwn 的肯定:“感谢 GeekPwn 的活动,这对厂商改善安全方面的问题有很大帮助”。
