في مدة لا تتجاوز 15 ثانية فقط... فريق "Kunlun Lab " تمكن من اختراق هاتف ايفون 13 برو ويفوز بمسابقة "TianfuCup" المختصة في اختراق أنظمة الشركات العالمية والمقامة في الصين. مجموع الجوائز التي حصدها الفريق هي 625 الف دولار ليكون في المركز الاول في المسابقة ،واستطاعوا اختراق كل مجالات المسابقة باستثناء اجهزة سينولوجي Synlogy .
وجرت المسابقة ، في طبعتها الرابعة الآن ، باستخدام القواعد الكلاسيكية التي وضعتها مسابقة اختراق Pwn2Own. وفي تموز/يوليه ، أعلن المنظمون عن سلسلة من الأهداف ، وكان أمام المشاركين ثلاثة إلى أربعة أشهر لإعداد استغلالهم لأجهزة يوفرها المنظمون على مسرح المسابقة. وكان للباحثين ثلاث محاولات لمدة 5 دقائق لتشغيل استغلالهم ، ويمكنهم التسجيل لاختراق أجهزة متعددة إذا كانوا يرغبون في زيادة أرباحهم.
وتضمنت نسخة هذا العام قائمة تضم 16 هدفا محتملا ، وكانت واحدة من أكثر طبعات كأس تيانفو نجاحا ، حيث نجح 11 مشاركا في استغلال 13 هدفا. وكانت تلك الوحيدة التي لم يتم اختراقها تشمل سينولوجيا DS220j NAS ، زياومي مي 11 الهاتف الذكي ، وسيارة كهربائية الصينية التي لم يتم الكشف عن علامتها التجارية - والتي لم يسجل لها أي مشارك حتى لمحاولة استغلالها. ومن ناحية أخرى ، كانت عمليات الاستغلال الناجحة في مواجهة كل شيء آخر تقريبا ، على النحو التالي:
Windows 10 – مرات تم اختراقها 5
Adobe PDF Reader –مرات تم اختراقها 4
Ubuntu 20 –مرات تم اختراقها 4
Parallels VM – مرات تم اختراقها3
iOS 15 – مرات تم اختراقها 3
Apple Safari – مرات تم اختراقها 2
Google Chrome – مرات تم اختراقها 2
ASUS AX56U router – مرات تم اختراقها 2
Docker CE – مرات تم اختراقها 1
VMWare ESXi – مرات تم اختراقها 1
VMWare Workstation – مرات تم اختراقها 1
qemu VM – مرات تم اختراقها 1
Microsoft Exchange – مرات تم اختراقها 1 .
وكانت أغلب عمليات الاستغلال عبارة عن تصعيد الامتيازات وحشرات الإعدام عن بعد ؛ بيد أن اثنين من الاستخدامات التي قدمت في كأس تيانفو هذا العام برزت. الأول كان سلسلة تنفيذ شفرة عن بعد بدون تفاعل ضد iOS 15 يعمل على أحدث iPhone 13. والثانية كانت سلسلة تنفيذ شفرة بعيدة بسيطة من خطوتين ضد جوجل كروم ، وهو شيء لم يشاهد في منافسة القرصنة منذ سنوات.
ولكن على الرغم من أن مسابقة اختراق كأس تيانفو سوف تأخذ كل العناوين الإخبارية في الأيام المقبلة ، فإن الحدث تضمن أيضاً عرضاً تجارياً منفصلاً ومؤتمر للأمن السيبراني ، وهو المؤتمر الذي طرحه هذا العام تشي شيانجدونج ، رئيس شركة كيانكسين الأمنية ، والذي ضم أيضاً أقساماً مخصصة لأمن المركبات الذكية ، وأمن أجهزة الإنترنت ، وأمن الاستخبارات الاصطناعية ، وأمن المدن الذكية. ومع ذلك ، كانت كل الأنظار على المنافسة هذا العام لسبب آخر ، وهو أن أحد المستكشفين في مسابقة العام الماضي قد استخدم في حملة تجسس إلكترونية قام بها نظام بكين ضد سكانها من الأويغور. وجاء هذا الاكتشاف لتعزيز الاعتقاد بين خبراء الأمن الغربيين بأن بكين منعت الباحثين الأمنيين الصينيين من المشاركة في مسابقات القرصنة التي أقيمت في الخارج في عام 2017 من أجل تسخير قدراتهم على استغلال أنفسهم بشكل أفضل.
ليست هناك تعليقات