Pesquisadores de segurança chineses descobriram vulnerabilidades de dia zero no Windows 10, Linux, Google Chrome e no navegador Safari usado em iPhones da Apple.
Os bugs foram revelados durante a Tianfu Cup 2021 International Cyber Security Competition, a maior competição de hackers da China, realizada no último fim de semana na cidade de Chengdu.
O evento ocorreu nos dias 16 e 17 de outubro e reuniu os principais hackers do país numa competição que testou alguns dos mais populares softwares e sistemas operacionais do mundo.
Os hackers chineses se tornaram famosos em 2018 após vencerem por vários anos consecutivos a Pwn2Own, a maior competição de hackers do mundo.
Com a ascensão dos grupos de hacking do país, o governo chinês acabou proibindo os hackers de elite chineses de participarem de competições internacionais de hacking.
Em 2018, o governo chinês criou sua própria competição, a Tianfu Cup, para que os pesquisadores de segurança locais testassem suas habilidades de hacking.
A edição deste ano incluiu uma lista de 16 alvos possíveis, 13 deles foram hackeados com sucesso. Veja abaixo:
- Apple Safari
- Google Chrome
- Windows 10
- Microsoft Exchange Server 2019
- Adobe PDF Reader
- Ubuntu 20 / CentOS 8
- Docker CE
- Estação de trabalho VMware
- VMware ESXi
- Parallels Desktop
- iPhone 13 Pro com iOS 15
- Roteador ASUS AX56U
- Ubuntu + qemu-kvm
- Synology DS220j
- Telefones celulares domésticos (Android)
- Veículos domésticos de nova energia
O Synology DS220j, uma unidade de armazenamento de arquivos em rede de computadores, o smartphone Xiaomi Mi 11 e um veículo elétrico chinês sem nome, foram os únicos dispositivos que os hackers não conseguiram explorar.
Vencedores da Tianfu Cup 2021
Os pesquisadores da empresa de segurança chinesa, Kunlun Lab, venceram a competição hackeando o iPhone 13 Pro com iOS 15 por meio de uma vulnerabilidade no navegador Safari em apenas 15 segundos.
Os pesquisadores do Kunlun Lab também mantiveram o Google Chrome "para obter privilégio de quantidade de kernel do programa Windows com apenas dois bugs", twittou o CEO do Kunlun Lab @ mj0011.
Os pesquisadores da empresa ganharam um prêmio em dinheiro no total de US $ 654.500 (cerca de R$ 3.632.475,00) na cotação atual.
A equipe PangU, conhecida por desbloquear telefones celulares desde 2014, ficou em segundo lugar por desbloquear remotamente um iPhone 13 Pro rodando iOS 15.
A equipe ganhou US $ 522.500 (cerca de R$ 2.899.875,00) no concurso e se tornou o primeiro grupo a realizar um ataque remoto ao recém-lançado iPhone da Apple em um fórum público.
Por fim, o Vulnerability Investigate Institute (VRI) ficou em terceiro lugar, com um prêmio de US $ 392.500 (ou R$ 2.178.375,00).
Nenhum detalhe das falhas foram divulgados, mas os patches de correção para as vulnerabilidades exploradas durante o evento devem ser lançados nas próximas semanas.
Via: Tech Worm
