Windows 10 e iOS 14 são hackeados em 5 minutos no TiancuCup

 Quase R$ 750 mil (cerca de R$ 4 milhões) foi o quanto embolsou a equipe de hackers que conseguiu invadir alguns dos mais seguros software do mundo, como o Windows 10, iOS 14 (rodando em um iPhone 11 Pro), Chrome e outros, na principal competição de hacking da China, a TianfuCup.

Esta é a terceira edição da copa; segundo os organizadores, “muitos alvos difíceis foram atingidos e novas estratégias nunca vistas, mostradas este ano”. Estes foram os programas que sofreram invasões:

iOS 14 em execução em um iPhone 11 Pro

Android 10.0 em execução em um Samsung Galaxy S20

Windows 10 v2004 (edição de abril de 2020)

Ubuntu

Chrome

Safari

Firefox

Adobe PDF Reader

Docker (Community Edition)

VMWare EXSi (hipervisor)

QEMU (emulador e virtualizador)

Queda em cinco minutos

Quinze equipes de hackers chineses tiveram, cada uma, três chances para acessar um alvo específico – a cada tentativa, um relógio contava os cinco minutos concedidos. Para cada alvo derrubado, a equipe recebia recompensas em dólares, cujo montante variava de acordo com o software escolhido e o tipo de vulnerabilidade explorada

Segundo os organizadores da competição, “A Tianfu Cup visa construir gradualmente seu próprio Pwn2Own da China. Três competições independentes e paralelas serão criadas, incluindo uma de recorrência para demonstração de vulnerabilidade original; uma competição de cracking [quando o hacking tem o objetivo de explorar falhas de segurança para corrigi-las] de produto e uma competição de cracking de sistema".

(A Pwn2Own acontece anualmente desde 2007, durante a conferência sobre segurança de internet CanSecWest. Os participantes são desafiados a explorar softwares e dispositivos móveis com vulnerabilidades previamente desconhecidas.)

Os regulamentos ditam que "as equipes precisam usar brechas originais para resolver o problema. O prêmio total em dinheiro da competição chegará a US$ 1 milhão e esperamos fornecer um gigantesco painel de tecnologia de segurança de rede”.

As vulnerabilidades e a maneira como foram acessadas foram reportadas aos fabricantes.