TianfuCup: Beveiligingsexperts hacken bijna $ 2 miljoen


De TianfuCup (TFC) bestaat sinds 2018 als het Chinese antwoord op de Pwn2Own-wedstrijd die jaarlijks in de VS wordt gehouden. Wat betreft spectaculaire hacks op besturingssystemen, software en hardware, deed de TFC van dit jaar niet onder voor het Amerikaanse “rolmodel”: de deelnemers aan Chengdu namen Windows 10, Ubuntu 20, iOS 15 op de iPhone 13, Microsoft Exchange, Adobe’s PDF, onder andere -Reader evenals de Chrome- en Safari-browsers in de tang. De meeste exploits waren succesvol en het totale uitbetaalde bedrag bedroeg volgens de eindrangschikking ruim 1,88 miljoen dollar.

In 2018 verbood de Chinese overheid Chinese beveiligingsonderzoekers om deel te nemen aan internationale hackwedstrijden, waarin ze eerder vaak zeer succesvol waren. Met de TFC als alternatief wil de Chinese overheid haar beveiligingsonderzoekers de kans geven hun vaardigheden te demonstreren en te verbeteren.

Als winnaar in het algemeen klassement ging het bedrijf “Kunlun Lab” – onbekend in dit land en volgens de CEO nog erg jong – naar huis met het hoogste bedrag van ongeveer 654.500 US dollar.

De organisatoren van TFC hebben dit overzicht van het prijzengeld vooraf gepubliceerd.

(Afbeelding: Twitter)

De meeste aandacht – en ook het hoogste bedrag voor een enkele aanval – ging naar een team dat erin slaagde op afstand de nieuwste versie van Apple’s iOS 15 mobiele besturingssysteem met alle patches op de iPhone 13 Pro te jailbreaken. Meerdere tweets met korte demovideo’s Volgens onder meer beveiligingslekken in de mobiele Safari-browser werden uitgebuit. Het Pangu-team ontving $ 300.000. Over het algemeen zou iOS 15 drie keer met succes zijn aangevallen; onder andere Kunlun Lab beheerde ook een aanval op het uitvoeren van code op afstand via de iOS / Safari-constellatie.

Waarnemers bekritiseerd via Twitterdat de exploits die tijdens de TFC zijn gedemonstreerd, doorgaans niet worden gepubliceerd en dat het voordeel voor de gemeenschap dus laag is. In het verleden hadden de organisatoren van de wedstrijd echter de verzekering gegeven dat de ontdekte kwetsbaarheden rechtstreeks aan de fabrikanten zouden worden gemeld. Er zullen waarschijnlijk binnenkort zoveel beveiligingsupdates in behandeling zijn, niet alleen voor iOS 15.

Nog steeds succesvol aangevallen

  • Adobe PDF Reader (4 keer)
  • Apple’s Safari-browser (2 keer)
  • de ASUS RT-AX56U draadloze router (2 keer)
  • Docker CE (1 keer)
  • Google Chrome (2 keer)
  • Microsoft Exchange Server 2019 (1 keer)
  • Microsoft Windows 10 (5 keer)
  • Parallels Desktop (3 keer)
  • QEMU VM (1 keer)
  • Ubuntu 20 / CentOS 8 (4 keer)
  • VMware ESXi en (1 keer)
  • VMWare-werkstation (1 keer)

Aanvallen op slechts drie van alle gerichte doelen mislukten: op de Synology DS220j NAS, op de Xiaomi Mi 11-smartphone en op een niet-gespecificeerd “binnenlands voertuig”. Een update van de Evenementenwebsite van de TFC Helaas is de huidige informatie over het evenement nog in behandeling.


(ovw)





Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: