Tijdens de Tianfu Cup in China hebben onderzoekers onbekende kwetsbaarheden in onder andere Google Chrome, Microsoft Edge, Oracle VirtualBox, Adobe Reader, Microsoft Office, Safari en de iPhone X gedemonstreerd. Ook lieten onderzoekers tijdens de hackwedstrijd een jailbreak van de iPhone X zien.
Via een jailbreak is het mogelijk om beperkingen van Apple te omzeilen en bijvoorbeeld applicaties van buiten de Apple App Store te installeren. Volgens de organisatie van de Tianfu Cup is het voor het eerst dat er een jailbreak tijdens een hackwedstrijd wordt gedemonstreerd. Details over de kwetsbaarheden zijn niet vrijgegeven. Alle leveranciers worden ingelicht zodat ze een beveiligingsupdate kunnen ontwikkelen.
De Tianfu Cup is de Chinese tegenhanger van Pwn2Own, een andere wedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden. Tijdens het evenement dat vorige week in Chengdu plaatsvond was er een prijzengeld van iets meer dan 1 miljoen dollar, dat ook volledig werd uitgekeerd.
De hoogste beloning van 200.000 dollar was voor onderzoekers van 360 Security die een jailbreak van de iPhone X demonstreerden. De aanval werd via een kwetsbaarheid in Safari uitgevoerd en maakte ook gebruik van een beveiligingslek in de iOS-kernel. Verder lieten onderzoekers kwetsbaarheden in Google Chrome en Microsoft Edge zien waardoor het mogelijk is om op afstand code uit te voeren.
Volgens de organisatie is er ook voor het eerst tijdens een hackwedstrijd een succesvolle aanval op Microsoft Office gedemonstreerd. Naast de iPhone X lieten onderzoekers ook aanvallen tegen de OPPO R17-, Vivo x23- en Xiaomi Mi8-smartphones zien. Elf van de dertien doelwitten waar onderzoekers zich op konden richten zijn tijdens het evenement gecompromitteerd. Alleen tegen Mozilla Firefox en Microsoft Remote Desktop werden geen aanvallen gedemonstreerd.
Voor hun demonstraties maakten de onderzoekers gebruik van 30 onbekende kwetsbaarheden. In totaal werd er 1.024.000 dollar aan prijzengeld uitgekeerd. Alle betrokken partijen zijn over de beveiligingslekken geïnformeerd. Wanneer er beveiligingsupdates zullen verschijnen is nog niet bekend.
Deze posting is gelocked. Reageren is niet meer mogelijk.