На соревнованиях китайских хакеров взломали Chrome, iOS 15 и Windows 10
16—17 октября в китайском городе Чэнду состоялся национальный хакерский турнир Tianfu Cup. Организаторы создали призовой фонд на сумму более $1,5 млн за взлом популярного в мире программного обеспечения, в список которых вошли Chrome, iOS 15 и Windows 10. В общей сложности 11 командам представили на выбор список из 16 пунктов. В большинстве случаев организаторы требовали повышения привилегий или удалённое выполнение кода.
Chrome: оборудование — Lenovo L14 i7–16G-500SSD, система win10 21H1. Приз $50 тысяч за взлом и $150 тысяч при условии, что решение хакеров пошло работать дальше Песочницы (Sandbox Escape).
Safari: оборудование — Macbook Pro (13inch, 2017, 16G, 256SSD) или MacBook Pro (13inch, M1, 2020, 16G, 512SSD), система Mac OS. Приз — $40 тысяч за взлом и $75 тысяч при условии, что решение пошло работать дальше Песочницы.
Adobe PDF Reader (32 bit): оборудование — Lenovo L14 i7–16G-500SSD, система win10 21H1. Приз $30 тысяч за взлом и $60 тысяч при условии, что решение пошло работать дальше Песочницы (Sandbox Escape)
Docker-CE: оборудование — Lenovo L14 i7–16G-500SSD, система win10 21H1 и Ubuntu версии 20.04. Приз — $60 тысяч.
Ubuntu 20/CentOS 8: оборудование — Lenovo L14 i7–16G-500SSD, приз — $40 тысяч.
Microsoft Exchange Server 2019: система — Windows Server 2019, приз — $60 тысяч за взлом при аутентифицированном типе сканирования и $200 тысяч при неаутентифицированном.
Windows 10: оборудование — Lenovo L14 i7–16G-500SSD, приз — $20 тысяч за локальное повышение привилегий и $40 тысяч за локальное повышение привилегий с доступом на уровне ядра.
VMware Workstation: оборудование — Lenovo L14 i7–16G-500SSD, система win10 21h1, приз — $80 тысяч.
VMware ESXi: оборудование — Lenovo L14 i7–16G-500SSD, система win10 21h1, приз — $180 тысяч.
Ubuntu + qemu-kvm: оборудование — Lenovo L14 i7–16G-500SSD и Ubuntu версии 20.04. Приз — $60 тысяч за взлом и $150 тысяч при условии, что решение пошло работать дальше Песочницы.
Parallels Desktop: оборудование — MacBook Pro (13inch, 2017, 16G, 256SSD), система Mac OS, Ubuntu для windows 10. Приз — $30 тысяч.
iPhone 13 Pro 128G: система — iOS 15. Приз — $120 тысяч за взлом, $180 тысяч при условии, что решение пошло работать дальше Песочницы и $300 тысяч, если взлом был проведён удалённо.
Отечественные телефоны на Android: оборудование — Xiaomi Mi 11, OPPO K9 黑桃 K 8G+256G标准版 и VIVO S9 5G. Приз — $4.6 тысяч за взлом при условии, что решение пошло работать дальше Песочницы и $7,7 тысяч c рутингом.
Synology DS220j: приз $10 тысяч.
ASUS Router AX56U 热血版: приз $10 тысяч.
Отечественные электрические транспортные средства: приз $50 тысяч. Оборудования и другие детали организатор выдаёт участникам по запросу.
Из всего списка участникам удалось пять раз взломать Windows 10, по четыре раза Adobe PDF Reader и Ubuntu 20, по три раза Parallels и iOS 15. Остальные взломанные программы представлены ниже. Не удалось взломать только Synology DS220j и Xiaomi Mi 11. Отечественные транспортные средства также никто не взломал, но лишь потому, что участники не подали ни одной заявки.
Как сообщает китайское издание Mydrivers, хакерская организация Pangu Lab выполнила удалённый джейлбрейк iPhone 13 Pro и получила полный доступ к содержимому телефона всего за секунду. Для атаки они использовали уязвимости iOS 15, включая эксплойт Safari. При этом всё, что нужно было сделать пользователю — перейти по вредоносной ссылке.
Лучше всех на соревновании показала себя команда Kunlun Lab, специалисты которой в общей сложности заработали $654,5 тысяч. Второе место заняла Pangu Lab, заработавшая $522,5 тысяч, третье — Институт исследования уязвимостей (VRI), заработавший $392,5 тысяч.