Seit 2018 gibt es den TianfuCup (TFC) als chinesische Antwort auf den jährlich in den USA ausgetragenen Pwn2Own-Contest. In puncto spektakuläre Hacks auf Betriebssysteme, Soft- und Hardware stand der diesjährige TFC dem US-"Vorbild" in nichts nach: Die Teilnehmer nahmen in Chengdu unter anderem Windows 10, Ubuntu 20, iOS 15 auf dem iPhone 13, Microsoft Exchange, Adobes PDF-Reader sowie die Browser Chrome und Safari in die Zange. Die meisten Exploits gelangen und die insgesamt ausgezahlte Summe lag laut abschließendem Ranking bei mehr als 1,88 Millionen US-Dollar.
2018 hatte die chinesische Regierung Chinas Sicherheitsforschern die Teilnahme an internationalen Hacker-Wettbewerben, bei denen sie zuvor oftmals sehr erfolgreich vertreten waren, verboten. Mit dem TFC als Gegenentwurf will die chinesische Staatsführung seinen Sicherheitsforschern die Möglichkeit geben, ihre Fähigkeiten zu demonstrieren und zu verbessern.
Die TFC-Veranstalter veröffentlichten vorab diese Übersicht der Preisgelder.
(Bild: Twitter)
Die meiste Aufmerksamkeit – und zugleich auch der höchste Geldbetrag für einen einzelnen Angriff – wurde einem Team zuteil, dem ein Remote-Jailbreak auf die aktuellste Version von Apples mobilem Betriebssystem iOS 15 mit allen Patches auf dem iPhone 13 Pro gelang. Mehreren Tweets mit kurzen Demo-Videos zufolge wurden dafür unter anderem Sicherheitslücken im mobilen Safari-Browser ausgenutzt. Das Pangu-Team erhielt 300.000 US-Dollar. Insgesamt soll iOS 15 dreimal erfolgreich angegriffen worden sein; unter anderem gelang auch Kunlun Lab eine Remote Code Execution-Attacke über die iOS/Safari-Konstellation.
Via Twitter kritisierten Beobachter, dass die beim TFC demonstrierten Exploits typischerweise nicht veröffentlicht würden und der Nutzen für die Community somit gering sei. In der Vergangenheit hatten die Veranstalter des Wettbewerbs allerdings versichert, dass die entdeckten Schwachstellen jeweils direkt an die Hersteller gemeldet würden. Somit dürften demnächst viele Sicherheitsupdates nicht nur für iOS 15 anstehen.
Quelle: heise
2018 hatte die chinesische Regierung Chinas Sicherheitsforschern die Teilnahme an internationalen Hacker-Wettbewerben, bei denen sie zuvor oftmals sehr erfolgreich vertreten waren, verboten. Mit dem TFC als Gegenentwurf will die chinesische Staatsführung seinen Sicherheitsforschern die Möglichkeit geben, ihre Fähigkeiten zu demonstrieren und zu verbessern.
Spektakulärer iPhone-Jailbreak als Highlight
Als Gewinner im Gesamt-Ranking ging das – hierzulande unbekannte und laut dessen CEO auch noch sehr junge – Unternehmen "Kunlun Lab" mit dem höchsten Betrag von rund 654.500 US-Dollar nach Hause.
Du musst angemeldet sein, um Bilder zu sehen.
Die TFC-Veranstalter veröffentlichten vorab diese Übersicht der Preisgelder.
(Bild: Twitter)
Die meiste Aufmerksamkeit – und zugleich auch der höchste Geldbetrag für einen einzelnen Angriff – wurde einem Team zuteil, dem ein Remote-Jailbreak auf die aktuellste Version von Apples mobilem Betriebssystem iOS 15 mit allen Patches auf dem iPhone 13 Pro gelang. Mehreren Tweets mit kurzen Demo-Videos zufolge wurden dafür unter anderem Sicherheitslücken im mobilen Safari-Browser ausgenutzt. Das Pangu-Team erhielt 300.000 US-Dollar. Insgesamt soll iOS 15 dreimal erfolgreich angegriffen worden sein; unter anderem gelang auch Kunlun Lab eine Remote Code Execution-Attacke über die iOS/Safari-Konstellation.
Via Twitter kritisierten Beobachter, dass die beim TFC demonstrierten Exploits typischerweise nicht veröffentlicht würden und der Nutzen für die Community somit gering sei. In der Vergangenheit hatten die Veranstalter des Wettbewerbs allerdings versichert, dass die entdeckten Schwachstellen jeweils direkt an die Hersteller gemeldet würden. Somit dürften demnächst viele Sicherheitsupdates nicht nur für iOS 15 anstehen.
Fast alle Exploits erfolgreich
Weiterhin erfolgreich angegriffen wurden- Adobe PDF Reader (4 mal)
- Apples Safari-Browser (2 mal)
- der WLAN-Router ASUS RT-AX56U (2 mal)
- Docker CE (1 mal)
- Google Chrome (2 mal)
- Microsoft Exchange Server 2019 (1 mal)
- Microsoft Windows 10 (5 mal)
- Parallels Desktop (3 mal)
- QEMU VM (1 mal)
- Ubuntu 20/CentOS 8 (4 mal)
- VMware ESXi und (1 mal)
- VMWare Workstation (1 mal)
Quelle: heise
