Konkurs ofensywnego hackowania – Chińczycy zmasakrowali ~wszystko. Za sam atak na iPhone z najnowszym iOS zapłacono ~800 000 PLN

10 listopada 2020, 15:36 | W biegu | komentarzy 7
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Lista celów które zostały skutecznie wyeksploitowane w tegorocznycm Tianfu Cup jest imponująca.

Wykonanie kodu poprzez Chrome, Firefoksa czy Safari (z wyskoczniem z sandboxa) – bardzo proszę.

Wykonanie kodu na iPhone (najnowszy iOS + iPhone 11 Pro) – jak najbardziej (za ten wyczyn przyznano nagrodę $180 000).

Coś na Androidzie – poległ Samsung Galaxy S20 (efekt podobny jak w przypadku iPhone).

Dalej: wyskoczenie z kontenera dockerowego? Jak najbardziej, tutaj proszę $80 000:

Great job! Pang team ran the vulnerability on Docker-CE successfully. They achieved code execution with root permission on the host OS.

Na koniec poległy: Vmware, QEMU, Windows 10, PDF reader czy domowej klasy routerki WiFi.

W skrócie – mając odpowiedni budżet – wszystko można zhackować.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Marek

    „11 out of 16 targets cracked” – wiadomo co to za pięć celów do których nie udało się włamać?

    Odpowiedz
    • xartii

      Kompletna lista celów z zawodów:
      Microsoft Edge
      Chrome
      Safari
      Firefox
      Adobe PDF Reader
      Docker-CE
      VMWare Workstation
      VMWare ESXi
      Ubuntu + qemu-kvm
      iPhone 11 Pro + iOS 14
      Samsung Galaxy S20 (Android 10)
      Windows 10 2004
      Ubuntu 20 / CentOS 8
      Microsoft Exchange Server 2019
      TP-Link WDR7660
      ASUS AX86U

      Odpowiedz
  2. Badacz

    Chyba mając odpowiednich chinczykow

    Odpowiedz
    • wk

      @Badacz

      Mając odpowiedni budżet, znajdzie się i wytrenuje także odpowiednich Chińczyków

      Odpowiedz
  3. Dawid

    Gdy mowa o przegladarkach internetowych jest tam napisane ze zostal wykorzystany „type confusion bug”, czy bedzie mozliwosc ze zrobicie o tym jakis artykul/filmik z wyjasnieniem o co moglo tam chodzic mniej wiecej?

    Odpowiedz
  4. Sip

    Pewnie dostęp do domowych routerów mają OTB, poprzez zostawione furtki w firmware i marne wsparcie jeżeli chodzi o aktualizacje firmware.

    Odpowiedz
  5. marxim

    no wydaje się że
    Ubuntu 20 / CentOS 8
    Microsoft Exchange Server 2019
    Microsoft Edge
    nie zostały zhakowane

    Odpowiedz

Odpowiedz na xartii