Investigadores piratean Safari, iOS 14 para ganar $ 420,000 en el concurso de China

AppleSegún los informes, la seguridad del software ha sido derrotada en el concurso de piratería de la Copa Tianfu en China, con miles de dólares en premios que se entregaron a los participantes por demostrar vulnerabilidades en Safari e iOS. 14.

El concurso, que tuvo lugar el sábado y el domingo, vio a los equipos intentar demostrar con éxito exploits que atacan una amplia variedad de hardware. Para la competencia de 2020, el Apple-los objetivos específicos para los equipos eran Safari corriendo en un 13-pulgadas MacBook Pro y iPhone 11 Pro con iOS 14.

Cada dispositivo tenía una lista de requisitos que cumplir para calificar para los premios otorgados por los organizadores de la Copa Tianfu. Para Safari, que tenía investigadores de seguridad que usaban Safari para navegar por una URL remota y habilitar el control del navegador o la Mac, se ofrecían $ 40,000 para un ataque de ejecución remota de código (RCE) exitoso, aumentando a $ 60,000 para un RCE con un escape sandbox. .

  

Para iPhone e iOS 14, los equipos tenían requisitos similares a los de Safari, pero con la adición de la necesidad de “pasar por alto la mitigación de PAC”. El RCE les hizo ganar a los piratas informáticos $ 120,000 si tenían éxito, aumentando a $ 180,000 y premios adicionales por una fuga de la caja de arena y $ 300,000 por un jailbreak remoto.

Según los resultados publicados, un equipo logró un escape de la caja de arena en Safari, mientras que dos escapes de la caja de arena se realizaron en iOS 14, lo que se traduce en pagos por un total de 420.000 dólares.

Los detalles de las hazañas no se dieron a conocer, pero se proporcionaron a Apple para parchear bajo una política de divulgación responsable. Una vez reparadas, o ha pasado un período de tiempo suficiente, los investigadores que las descubrieron suelen compartir los detalles de las vulnerabilidades.

Ahora en su tercer año, la Copa Tianfu está inspirada en gran medida en la estructura de Pwn2Own, y muchos de los investigadores participaron anteriormente en esa competencia. Un cambio en las regulaciones chinas prohibió efectivamente a los investigadores de seguridad participar en concursos internacionales, por temor a la seguridad nacional.

El equipo ganador del fin de semana fue el Qihoo 360 Enterprise Security and Government Vulnerability Research Institute, que ganó $ 744,500 por sus presentaciones. El segundo lugar fue para Ant-Financial Light-year Security Lab con $ 258,000, mientras que el investigador de seguridad “Pang” fue tercero con $ 99,500.