На соревнованиях китайских хакеров взломали Chrome, iOS 15 и Windows 10

16—17 октября в китайском городе Чэнду состоялся национальный хакерский турнир Tianfu Cup. Организаторы создали призовой фонд на сумму более $1,5 млн за взлом популярного в мире программного обеспечения, в список которых вошли Chrome, iOS 15 и Windows 10. В общей сложности 11 командам представили на выбор список из 16 пунктов. В большинстве случаев организаторы требовали повышения привилегий или удалённое выполнение кода.

  1. Chrome: оборудование — Lenovo L14 i7–16G-500SSD, система win10 21H1. Приз $50 тысяч за взлом и $150 тысяч при условии, что решение хакеров пошло работать дальше Песочницы (Sandbox Escape).

  2. Safari: оборудование — Macbook Pro (13inch, 2017, 16G, 256SSD) или MacBook Pro (13inch, M1, 2020, 16G, 512SSD), система Mac OS. Приз — $40 тысяч за взлом и $75 тысяч при условии, что решение пошло работать дальше Песочницы.

  3. Adobe PDF Reader (32 bit): оборудование — Lenovo L14 i7–16G-500SSD, система win10 21H1. Приз $30 тысяч за взлом и $60 тысяч при условии, что решение пошло работать дальше Песочницы (Sandbox Escape)

  4. Docker-CE: оборудование — Lenovo L14 i7–16G-500SSD, система win10 21H1 и Ubuntu версии 20.04. Приз — $60 тысяч.

  5. Ubuntu 20/CentOS 8: оборудование — Lenovo L14 i7–16G-500SSD, приз — $40 тысяч.

  6. Microsoft Exchange Server 2019: система — Windows Server 2019, приз — $60 тысяч за взлом при аутентифицированном типе сканирования и $200 тысяч при неаутентифицированном.

  7. Windows 10: оборудование — Lenovo L14 i7–16G-500SSD, приз — $20 тысяч за локальное повышение привилегий и $40 тысяч за локальное повышение привилегий с доступом на уровне ядра.

  8. VMware Workstation: оборудование — Lenovo L14 i7–16G-500SSD, система win10 21h1, приз — $80 тысяч.

  9. VMware ESXi: оборудование — Lenovo L14 i7–16G-500SSD, система win10 21h1, приз — $180 тысяч.

  10. Ubuntu + qemu-kvm: оборудование — Lenovo L14 i7–16G-500SSD и Ubuntu версии 20.04. Приз — $60 тысяч за взлом и $150 тысяч при условии, что решение пошло работать дальше Песочницы.

  11. Parallels Desktop: оборудование — MacBook Pro (13inch, 2017, 16G, 256SSD), система Mac OS, Ubuntu для windows 10. Приз — $30 тысяч.

  12. iPhone 13 Pro 128G: система — iOS 15. Приз — $120 тысяч за взлом, $180 тысяч при условии, что решение пошло работать дальше Песочницы и $300 тысяч, если взлом был проведён удалённо.

  13. Отечественные телефоны на Android: оборудование — Xiaomi Mi 11, OPPO K9 黑桃 K 8G+256G标准版 и VIVO S9 5G. Приз — $4.6 тысяч за взлом при условии, что решение пошло работать дальше Песочницы и $7,7 тысяч c рутингом.

  14. Synology DS220j: приз $10 тысяч.

  15. ASUS Router AX56U 热血版: приз $10 тысяч.

  16. Отечественные электрические транспортные средства: приз $50 тысяч. Оборудования и другие детали организатор выдаёт участникам по запросу.

Из всего списка участникам удалось пять раз взломать Windows 10, по четыре раза Adobe PDF Reader и Ubuntu 20, по три раза Parallels и iOS 15. Остальные взломанные программы представлены ниже. Не удалось взломать только Synology DS220j и Xiaomi Mi 11. Отечественные транспортные средства также никто не взломал, но лишь потому, что участники не подали ни одной заявки.

image-loader.svg

Как сообщает китайское издание Mydrivers, хакерская организация Pangu Lab выполнила удалённый джейлбрейк iPhone 13 Pro и получила полный доступ к содержимому телефона всего за секунду. Для атаки они использовали уязвимости iOS 15, включая эксплойт Safari. При этом всё, что нужно было сделать пользователю — перейти по вредоносной ссылке.

Лучше всех на соревновании показала себя команда Kunlun Lab, специалисты которой в общей сложности заработали $654,5 тысяч. Второе место заняла Pangu Lab, заработавшая $522,5 тысяч, третье — Институт исследования уязвимостей (VRI), заработавший $392,5 тысяч.

© Habrahabr.ru