На минувших выходных в китайском Чэнду прошел конкурс Tianfu Cup 2019, собравший самых сильных местных и иностранных хакеров. В рамках соревнования этичные “взломщики” пробовали свои силы в преодолении защиты популярного программного обеспечения — от браузеров и iOS до офисного пакета Microsoft Office 365 и операционной системы Ubuntu.
Правила Tianfu Cup идентичны Pwn2Own — ежегодному хакерскому конкурсу, проходящему в Ванкувере. Его участники соревнуются в поиске уязвимостей, о которых ранее ничего не было известно, зарабатывая очки, денежные призы и репутацию. Китайцы доминировали на Pwn2Own на протяжении многих лет, однако весной 2018 года власти КНР запретили им участвовать в конкурсах, проводящихся за рубежом. Спустя несколько месяцев был учрежден Tianfu Cup.
В ходе 1-го дня Tianfu Cup 2019 “белые” хакеры предприняли 32 попытки взлома — успешными оказались 13. Перед разработчиками не устояли браузеры Microsoft Edge (старая версия просмотрщика на базе движка EdgeHTML — 3 удачных эксплойта), Chrome и Safari, офисные приложения Microsoft Office 365, “читалка” PDF-файлов Adobe PDF Reader, прошивка роутера D-Link DIR-878, а также менеджер виртуальных машин qemu-kvm и операционная система Ubuntu.
Лидером по количеству найденных “дыр” стала Team 360Vulcan — бывшая команда-победительница Pwn2Own. Как сообщили ZDNet организаторы Tianfu Cup 2019, сведения обо всех обнаруженных уязвимостях будут направлены компаниям-разработчикам к концу соревнования.
По итогам 2-го дня конкурса успешными оказались только 7 попыток из 16. В частности, была “вскрыта” платформа виртуализации VMWare Workstation. Однако получить доступ к файловой системе iOS “хорошим” хакерам так и не удалось.