08.12.2019

На соревновании в Китае хакеры взломали Chrome, Edge и Safari, заработав более 500 000 долларов

3 недели назад
Комментарии (0)
Редактор: Kostya

В минувшие выходные в Китае прошло соревнование Tianfu Cup, на котором, как на Pwn2Own, лучшие хакерские команды соревновались, взламывая популярные продукты. Суть состязания заключается в том, чтобы использовать ранее неизвестные уязвимости и с их помощью перехватить контроль над приложением или устройством. Если атака удалась, исследователи получают баллы, денежные призы, а также соответствующую репутацию, которая неминуемо следует за победой в подобном мероприятии.

В сущности, Tianfu Cup очень похож на Pwn2Own и был создан именно после того, как в 2018 году китайское правительство запретило местным ИБ-исследователям участвовать в хакерских конкурсах, организованных за рубежом. Первое соревнование Tianfu Cup состоялось осенью 2018 года, и тогда исследователи успешно взломали такие приложения, как Edge, Chrome, Safari, iOS, Xiaomi, Vivo, VirtualBox и не только.

В этом году Tianfu Cup выдался не менее успешным для участников. Так, на первый день соревнований 11 командами было запланировано сразу 32 различных взлома, целями которых были Edge, Chrome, Safari, Office 365 и не только. По итогам дня успешными оказались из этих 13 атак. Еще 7 попыток потерпели неудачу, и в 12 случаях исследователи по разным причинам были вынуждены отказаться от своих попыток.

Подводя итоги первого дня, организаторы соревнования сообщили о следующих успешных взломах:

(3 успешных эксплоита) Microsoft Edge (старая версия на движке EdgeHTML, а не новая версия Chromium) [твит];
(2 успешных эксплоита) Chrome [твит];
(1 успешный эксплоит) Safari [твит];
(1 успешный эксплоит) Office 365 [твит, твит];
(2 успешных эксплоита) Adobe PDF Reader [твит];
(3 успешных эксплоита) Маршрутизатор D-Link DIR-878 [твит];
(1 успешный эксплоит) QEMU-KVM + Ubuntu [твит, твит].
В итоге, по результатам первого дня по количеству баллов лидировала команда Team 360Vulcan, бывший победитель Pwn2Own.

На второй день соревнований были запланированы 16 попыток взлома. Результативными оказались только половина из них, а в восьми случаях исследователи вновь отказались от своих намерений. Из восьми успешных атак, впрочем, цели достигли только семь, и одна атака не сработала. Семь сработавших как должно эксплоитов предназначались для:

(4 успешных эксплоита) D-Link DIR-878 [твит];
(2 успешных эксплоита) Adobe PDF Reader [твит];
(1 успешный эксплоит) VMWare Workstation [твит,твит].
К сожалению, во второй день состязаний участники Team 360Vulcan отказались от попытки взлома iOS, которая также была запланирована последней, чтобы завершить турнир. В целом участники из разных команд потерпели неудачу или отказались от попыток взлома Edge, Chrome, Safari, Adobe Reader, Oracle VirtualBox, TP-Link и роутеров D-Link, Windows Server 2019, VMware Workstation и iPhone 11 Pro.

Тем не менее, Team 360Vulcan все равно стала победителем соревнования, заработав 382 500 долларов за свои усилия по взлому Microsoft Edge, Microsoft Office 365, qemu+Ubuntu, Adobe PDF Reader и VMWare Workstation. Так, одни лишь эксплоиты для VMWare и qemu+Ubuntu принесли им 200 000 и 80 000 долларов соответственно.

Занявшая второе место, ddd Team, заработала в общей сложности 83 750 долларов за эксплоиты, нацеленные на Edge, Chrome, Adobe Reader и роутеры D-Link.

Источник: https://xakep.ru/2019/11/19/tianfu-cup-2019/

Похожие

Хакеры получили доступ к телеграму нескольких бизнесменов

Что случилось? Компания Group-IB, занимающаяся «предотвращением кибератак», сообщила о взломе телеграм-аккаунтов у десятка предпринимателей. Злоумышленники получили доступ к переписке своих…

3 дня назад
Комментарии (0)

Пароли 500 тысяч пользователей российского сайта о трудоустройстве оказались в открытом доступе

Хакеры опубликовали базу данных пользователей сайта для поиска работы jobinmoscow.ru, пишет «Коммерсант». В базе данных, информация о которой появилась на…

1 неделя назад
Комментарии (0)

Последние новости

В Сирии сообщили о нападении неизвестных на американскую военную базу

2 дня назад
Комментарии (0)
Редактор: Sergey

Группа людей атаковала американскую военную базу на юго-востоке Сирии, передает государственный телеканал Al-Ikhbariya. Уточняется, что речь идет о незаконной базе США на нефтяном месторождении «Омар» на северо-востоке провинции Дейр-эз-Зор….

2 дня назад
Комментарии (0)
Редактор: Sergey

7 самых ожидаемых фильмов 2020 года

2 дня назад
Комментарии (0)
Редактор: Kostya

Не знаете как провести время? Отправляйтесь в кино, ведь 2020 год оказался богатым на премьеры. «Рамблер» расскажет о самых интересных из них. «Вторжение» 1 января Сразу после Нового…

2 дня назад
Комментарии (0)
Редактор: Kostya

Роскачество не считает намеренным обманом отличия в составе товаров от зарубежных аналогов

2 дня назад
Комментарии (0)
Редактор: Sergey

Ранее в обмане обвинили производителей Persil, Ariel и Lindt. Роскачество не считает намеренным обманом отличия в составе аналогичных продуктов, которые продаются на российском и зарубежном рынке….

2 дня назад
Комментарии (0)
Редактор: Sergey

Трейлер «Вторжения» Федора Бондарчука удивил зрителей

2 дня назад
Комментарии (0)
Редактор: Kostya

В YouTube опубликован трейлер фантастического боевика Федора Бондарчука «Вторжение». Премьера фильма состоится 1 января 2020 года. В сиквеле «Притяжения» пойдет…

2 дня назад
Комментарии (0)
Редактор: Kostya
Авторизация
*
*
Регистрация
*
*
*
*
Генерация пароля