Исследователи взломали Safari и iOS 14, чтобы выиграть 420 000 долларов в китайском конкурсе

Сообщается, что безопасность программного обеспечения Apple потерпела поражение на хакерском конкурсе Tianfu Cup в Китае, при этом участникам были вручены призы на тысячи долларов за демонстрацию уязвимостей в Safari и iOS 14.

В конкурсе, который проходил в субботу и воскресенье, команды пытались успешно продемонстрировать эксплойты, атакующие широкий спектр оборудования. В соревновании 2020 года целевыми показателями команд Apple были Safari на 13-дюймовом MacBook Pro и iPhone 11 Pro с iOS 14.

Каждый У устройства был список требований, которым необходимо было соответствовать, чтобы претендовать на призы, выданные организаторами Tianfu Cup. Для Safari, в котором исследователи безопасности использовали Safari для просмотра удаленного URL-адреса и включения управления браузером или Mac, было предложено 40000 долларов за успешную атаку с удаленным выполнением кода (RCE), увеличившись до 60000 долларов за RCE с выходом из песочницы. .

Для iPhone и iOS 14 у команд были те же требования, что и для Safari, но с добавлением необходимости «обойти защиту от PAC». RCE заработал хакерам 120 000 долларов в случае успеха, увеличившись до 180 000 долларов и дополнительные призы за побег из песочницы и 300 000 долларов за удаленный джейлбрейк.

Согласно опубликованным результатам, одной команде удалось выполнить выход из песочницы в Safari, а в iOS 14 было выполнено два выхода из песочницы, в результате чего выплаты составили 420 000 долларов.

Подробная информация об эксплойтах не разглашалась, но была предоставлена ​​Apple для установки исправлений в соответствии с политикой ответственного раскрытия информации. После исправления или по прошествии достаточного периода времени исследователи, обнаружившие их, обычно делятся подробностями об уязвимостях.

Сейчас, уже третий год, Кубок Tianfu в значительной степени построен по модели Pwn2Own, и многие исследователи ранее принимали участие в этом соревновании. Изменения в китайских правилах фактически запретили исследователям в области безопасности принимать участие в международных соревнованиях из-за опасений по поводу национальной безопасности.

Командой, победившей на выходных, стал Исследовательский институт корпоративной безопасности и уязвимостей государственных учреждений Qihoo 360, получивший 744 500 долларов на своих материалах. Второе место заняла Ant-Financial Light-year Security Lab с 258 000 долларов, а третье место занял исследователь безопасности «Панг» с 99 500 долларами.

Оцените статью
futurei.ru
Добавить комментарий