A edição de 2020 da competição TianfuCup de hacking da China chegou ao fim no último domingo (8). A equipe que mais se destacou foi a 360 ESG Vulnerability Research Institute, que recebeu cerca de US$ 744 mil em bônus – aproximadamente R$ 3,9 milhões. Neste ano, os organizados citam que foram usados alvos difíceis, mas o nível de exploração foi alto.
Participaram da competição 15 equipes de hackers chineses. Elas tiveram três tentativas de cinco minutos para invadir um alvo selecionado usando um exploit. As equipes receberam quantias em dinheiro de acordo com o alvo e tipo de vulnerabilidade explorada. Como disse a organização do evento, muitos dos softwares foram hackeados usando novos exploits.
De acordo com os organizadores, “11 dos 16 alvos foram explorados com 23 demonstrações bem sucedidas”. Entre os sistemas invadidos na competição, destacam-se nomes populares como:
-
Windows 10 v2004 (atualização de abril de 2020)
-
Samsung Galaxy S20 com Android 10
-
iPhone 11 Pro com iOS 14 (exploit do Safari)
-
Ubuntu
-
Roteador Asus RT-AX86U
-
CentOS 8
-
Adobe PDF Reader
-
Google Chrome
-
QEMU
Vulnerabilidades serão corrigidas
Todas as vulnerabilidades exploradas na competição foram relatadas às empresas que fornecem os respectivos softwares, respeitando códigos de ética e o regulamento do concurso. Os patches de correções de bugs demonstrados na TianfuCup deverão ser fornecidos nas próximas semanas.
Competidores tiveram rodadas de cinco minutos para conseguir hackear algum sistema específico. Imagem: TianfuCup/Reprodução
A competição ainda premiou o segundo lugar, o time da AntFinancial Lightyear Security Lab, com US$ 258 mil. O terceiro lugar, um pesquisador de segurança chamado Pang, recebeu US$ 99 mil em premiação. No total, a edição deste ano premiou US$ 1,2 milhão às equipes participantes.
O evento aconteceu no último final de semana com hackers white hat (hackers éticos). A ideia central foi a exploração de navegadores web de forma remota, usar falhas nos softwares para controlar os navegadores ou os próprios sistemas operacionais.
Via: ZDNet