В Китае за 10 секунд взломали iPhone 11 Pro и iOS 14

Традиционное соревнование легальных хакеров Tianfu Cup, проходящее в Китае, является аналогом международного состязания в области информационной безопасности Pwn2Own. Мероприятия Tianfu Cup проходят с 2018 года, после запрета наложенного властями Китая на участие национальных специалистов по кибербезопасности в международных соревнованиях «белых» хакеров. В текущем, 2020 году призовой фонд Tianfu Cup составил 1 210 000 долларов.

Правила состязаний легальных китайских хакеров, во многом похожи на условия конкурсов Pwn2Own: эксперты по информационной безопасности должны в короткое время выявить ранее не обнаруженные уязвимости и «взломать» заданное приложение или гаджет. По правилам соревнований каждая команда имела 3 попытки для выполнения заданной цели всего по 5 минут каждая.

Были исследованы различные бренды, включая продукцию технологических гигантов Apple, Samsung, ASUS, TP-Link, а также технологические группы, такие как Mozilla и Ubuntu. При общем количестве участвующих команд до 15, только 8 из них сумели получить награды, причем больше всего заработала команда Qihoo 360, уже становившаяся победителем на прошлых соревнованиях Tianfu Cup. По заявлению организаторов конкурса, из поставленных 16 целей, 11 были успешно решены и проведены 23 презентации.

Участники успешно протестировали свои эксплойты на следующем программном обеспечении и устройствах:

• iOS 14 установленную на iPhone 11 Pro, на ее взлом потребовалось 10 секунд
• Samsung Galaxy S20
• Windows 10 2004 (сборка за апрель 2020)
• Ubuntu
• Chrome
• Safari
• Firefox
• Adobe PDF Reader
• Docker (Community Edition)
• VMWare EXSi (гипервизор)
• QEMU (эмулятор и виртуализатор)
• Прошивки роутеров TP-Link и ASUS

Команды сумевшие взломать iOS 14 на iPhone 11 Pro, получили призы на сумму 180 000 долларов. В общем зачете победила команда Qihoo 360, завоевавшая 744,5 тысяч долларов (61,5%). На втором месте с 258 000 долларов (21,3%) оказалась команда Ant-Financial Light-Year Security и на третьем частный специалист по информационной безопасности Панг, получивший 99 500 долларов (8,2%).

По правилам соревнований, сведения про все выявленные в ходе состязаний уязвимости уже переданы представителям компаний Samsung, Google, Apple и другим.

Источник: TianfuCup