Investigadores piratean Safari, iOS 14 para ganar $ 420,000 en la competencia de China

Según los informes, la seguridad del software de Apple fue derrotada en la competencia de piratería de la Copa Tianfu en China. Los asistentes recibieron premios por valor de miles de dólares por demostrar fallas de seguridad en Safari e iOS 14.

En la competencia, que tuvo lugar el sábado y el domingo, los equipos intentaron demostrar con éxito exploits que atacan una variedad de hardware. Para la competencia de 2020, los objetivos específicos de Apple para los equipos de Safari estaban en una MacBook Pro de 13 pulgadas y un iPhone 11 Pro con iOS 14.

Cada dispositivo tenía que cumplir una lista de requisitos para poder optar a los premios otorgados por los organizadores de la Copa Tianfu. A Safari, que los investigadores de seguridad utilizaron Safari para navegar por una URL remota y permitir el control del navegador o Mac, se le ofreció $ 40,000 en un exitoso ataque de Ejecución de Código Remoto (RCE) dirigido a un RCE de espacio aislado. Escape subió a $ 60,000.

Para el iPhone y iOS 14, los equipos tenían requisitos similares a los de Safari, pero también tuvieron que evitar la reducción de PAC. El RCE ganó $ 120,000 para los piratas informáticos en caso de éxito, saltó a $ 180,000 y un precio adicional para un escape de la caja de arena y $ 300,000 para un jailbreak remoto.

Según los resultados publicados, un equipo logró un escape de sandbox en Safari, mientras que se realizaron dos escapes de sandbox en iOS 14, lo que resultó en pagos totales de $ 420,000.

Los detalles de los exploits no se hicieron públicos, sino que se pusieron a disposición de Apple para parchearlos como parte de una política de divulgación responsable. Después de parchear, o después de un período de tiempo suficiente, los investigadores que las descubrieron suelen compartir los detalles de las vulnerabilidades.

Ahora en su tercer año, la Copa Tianfu se basa en gran medida en la estructura de Pwn2Own, y muchos de los investigadores han participado anteriormente en esta competencia. Un cambio en las regulaciones chinas prohibió efectivamente a los investigadores de seguridad participar en competencias internacionales debido a temores de seguridad nacional.

El equipo ganador del fin de semana fue el Qihoo 360 Enterprise Security and Government Vulnerability Research Institute, que recaudó $ 744,500 de sus presentaciones. El segundo lugar fue para Ant-Financial Light-Year Security Lab con $ 258,000, mientras que el investigador de seguridad “Pang” quedó en tercer lugar con $ 99,500.

Leave a Reply

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.