06.06.2020

На соревновании в Китае хакеры взломали Chrome, Edge и Safari, заработав более 500 000 долларов

7 месяцев назад
Комментарии (0)
Редактор: Kostya

В минувшие выходные в Китае прошло соревнование Tianfu Cup, на котором, как на Pwn2Own, лучшие хакерские команды соревновались, взламывая популярные продукты. Суть состязания заключается в том, чтобы использовать ранее неизвестные уязвимости и с их помощью перехватить контроль над приложением или устройством. Если атака удалась, исследователи получают баллы, денежные призы, а также соответствующую репутацию, которая неминуемо следует за победой в подобном мероприятии.

В сущности, Tianfu Cup очень похож на Pwn2Own и был создан именно после того, как в 2018 году китайское правительство запретило местным ИБ-исследователям участвовать в хакерских конкурсах, организованных за рубежом. Первое соревнование Tianfu Cup состоялось осенью 2018 года, и тогда исследователи успешно взломали такие приложения, как Edge, Chrome, Safari, iOS, Xiaomi, Vivo, VirtualBox и не только.

В этом году Tianfu Cup выдался не менее успешным для участников. Так, на первый день соревнований 11 командами было запланировано сразу 32 различных взлома, целями которых были Edge, Chrome, Safari, Office 365 и не только. По итогам дня успешными оказались из этих 13 атак. Еще 7 попыток потерпели неудачу, и в 12 случаях исследователи по разным причинам были вынуждены отказаться от своих попыток.

Подводя итоги первого дня, организаторы соревнования сообщили о следующих успешных взломах:

(3 успешных эксплоита) Microsoft Edge (старая версия на движке EdgeHTML, а не новая версия Chromium) [твит];
(2 успешных эксплоита) Chrome [твит];
(1 успешный эксплоит) Safari [твит];
(1 успешный эксплоит) Office 365 [твит, твит];
(2 успешных эксплоита) Adobe PDF Reader [твит];
(3 успешных эксплоита) Маршрутизатор D-Link DIR-878 [твит];
(1 успешный эксплоит) QEMU-KVM + Ubuntu [твит, твит].
В итоге, по результатам первого дня по количеству баллов лидировала команда Team 360Vulcan, бывший победитель Pwn2Own.

На второй день соревнований были запланированы 16 попыток взлома. Результативными оказались только половина из них, а в восьми случаях исследователи вновь отказались от своих намерений. Из восьми успешных атак, впрочем, цели достигли только семь, и одна атака не сработала. Семь сработавших как должно эксплоитов предназначались для:

(4 успешных эксплоита) D-Link DIR-878 [твит];
(2 успешных эксплоита) Adobe PDF Reader [твит];
(1 успешный эксплоит) VMWare Workstation [твит,твит].
К сожалению, во второй день состязаний участники Team 360Vulcan отказались от попытки взлома iOS, которая также была запланирована последней, чтобы завершить турнир. В целом участники из разных команд потерпели неудачу или отказались от попыток взлома Edge, Chrome, Safari, Adobe Reader, Oracle VirtualBox, TP-Link и роутеров D-Link, Windows Server 2019, VMware Workstation и iPhone 11 Pro.

Тем не менее, Team 360Vulcan все равно стала победителем соревнования, заработав 382 500 долларов за свои усилия по взлому Microsoft Edge, Microsoft Office 365, qemu+Ubuntu, Adobe PDF Reader и VMWare Workstation. Так, одни лишь эксплоиты для VMWare и qemu+Ubuntu принесли им 200 000 и 80 000 долларов соответственно.

Занявшая второе место, ddd Team, заработала в общей сложности 83 750 долларов за эксплоиты, нацеленные на Edge, Chrome, Adobe Reader и роутеры D-Link.

Источник: https://xakep.ru/2019/11/19/tianfu-cup-2019/

Похожие

МИД Германии: атаковавший серверы бундестага хакер работал на ГРУ

Россиянин Дмитрий Бадин, которого власти Германии обвиняют в хакерской атаке на немецкий парламент в 2015 году, был сотрудником Главного управления генштаба вооруженных сил…

1 неделя назад
Комментарии (0)

Паспортные данные нарушителей карантина в Москве оказались в открытом доступе на сайтах оплаты штрафов

Паспортные данные тех, кого в Москве оштрафовали за нарушение карантина, доступны на сайтах оплаты штрафов, пишет «Коммерсант». Найти их можно…

3 недели назад
Комментарии (0)

В сети появилась база данных девяти миллионов клиентов курьерской службы СДЭК. В компании отрицают утечку

Данные более девяти миллионов клиентов службы экспресс-доставки СДЭК выставили на продажу в интернете за 70 тысяч рублей. Первым на это…

3 недели назад
Комментарии (0)

Последние новости

Россия обошла США и Венесуэлу по объемам торгов на LocalBitcoins

3 дня назад
Комментарии (0)
Редактор: Kostya

РФ продолжает лидировать по объему торгов на P2P-обменнике LocalBitcoins. Об этом свидетельствуют данные аналитического сервиса CoinDance. За последние два месяца…

3 дня назад
Комментарии (0)
Редактор: Kostya

Новое ралли биткоина завершилось резким падением до $9100

3 дня назад
Комментарии (0)
Редактор: Kostya

Рост биткоина выше $10 000 продлился недолго. Около 14:45 UTC во вторник, 2 июня, первая криптовалюта снова устремилась вниз, за…

3 дня назад
Комментарии (0)
Редактор: Kostya

Канада легализовала деятельность биткоин-компаний

4 дня назад
Комментарии (0)
Редактор: Kostya

1 июня в Канаде вступили в силу новые правила регулирования, согласно которым криптовалютные компании – как местные, так и зарубежные…

4 дня назад
Комментарии (0)
Редактор: Kostya

Два швейцарских банка получили разрешение на торговлю криптовалютами

4 дня назад
Комментарии (0)
Редактор: Kostya

Швейцарская Служба по надзору за финансовыми рынками (FINMA) одобрила заявки ориентированных на частных состоятельных клиентов Maerki Baumann Bank и Incore…

4 дня назад
Комментарии (0)
Редактор: Kostya
Авторизация
*
*
Регистрация
*
*
*
*
Генерация пароля