Сообщается, что безопасность программного обеспечения Apple потерпела поражение на хакерском конкурсе Tianfu Cup в Китае, при этом участникам были вручены призы на тысячи долларов за демонстрацию уязвимостей в Safari и iOS 14.
В конкурсе, который проходил в субботу и воскресенье, команды пытались успешно продемонстрировать эксплойты, атакующие самые разные устройства. В соревновании 2020 года целевыми показателями Apple для команд были Safari на 13-дюймовом MacBook Pro и iPhone 11 Pro с iOS 14.
У каждого устройства был список требований, которым необходимо соответствовать, чтобы претендовать на призы, выдаваемые организаторами Tianfu Cup. Для Safari, в котором исследователи безопасности использовали Safari для просмотра удаленного URL-адреса и включения управления браузером или Mac, было предложено 40000 долларов за успешную атаку удаленного выполнения кода (RCE), а за RCE с выходом из песочницы было предложено 40 000 долларов. .
Для iPhone и iOS 14 у команд были те же требования, что и для Safari, но с добавлением необходимости «обойти защиту от PAC». RCE заработал хакерам 120 000 долларов в случае успеха, увеличившись до 180 000 долларов и дополнительные призы за побег из песочницы и 300 000 долларов за удаленный джейлбрейк.
Согласно опубликованным результатам, одной команде удалось выйти из песочницы в Safari, а в iOS 14 было выполнено два выхода из песочницы, в результате чего выплаты составили 420 000 долларов.
Подробная информация об эксплойтах не разглашалась, но была предоставлена Apple для исправления в соответствии с политикой ответственного раскрытия информации. После исправления или по прошествии достаточного периода времени исследователи, обнаружившие их, обычно делятся подробностями об уязвимостях.
Сейчас, на третьем году своего существования, Кубок Tianfu в значительной степени построен по модели Pwn2Own, и многие исследователи ранее принимали участие в этом соревновании. Изменения в китайских правилах фактически запретили исследователям в области безопасности принимать участие в международных соревнованиях из-за опасений национальной безопасности.
Командой, победившей на уик-энде, стал Исследовательский институт корпоративной безопасности и уязвимостей Qihoo 360, заработавший на своих материалах 744 500 долларов. Второе место заняла Ant-Financial Light-year Security Lab с 258 000 долларов, а третье место занял исследователь безопасности «Pang» с 99 500 долларами.
