Tianfu Cup Competition: Windows 10, iOS, Chrome, Firefox gehackt

Publiziert am 10. November 2020 von Günter Born

[English]Am Wochenende (7./8. November 2020) fand in China der TMC 2020 statt. Es handelt sich um einen Hackerwettbewerb (TifanCup 2020), bei dem die besten Hacker-Teams Chinas in der chinesischen Stadt Chengdu gegeneinander antreten. Es gab mal wieder eine Menge Hacks bei aktueller Software wie Browser, Windows 10 etc.

Anzeige

Der TFC-Wettbewerb

Der "Tianfu Cup", kurz TFC (International Cracking Competition) zielt darauf ab, Chinas eigenes "Pwn2Own"-Community aufzubauen. Der Hintergrund: Im Frühjahr 2018 verbot die chinesische Regierung den eigenen Sicherheitsforschern die Teilnahme an im Ausland organisierten Hackerwettbewerben wie Pwn2Own.

Einige Monate später wurde der TianfuCup als Reaktion auf das Verbot ins Leben gerufen, um den Forscher die Möglichkeit zu geben, ihre Fähigkeiten zu verbessern. Der erste TFC-Cup fand im Herbst 2018 mit großem Erfolg statt. Dabei hackten die Sicherheitsforscher erfolgreich Edge, Chrome, Safari, iOS, Xiaomi, Vivo, VirtualBox und andere Produkte.

Beim TMC Cup werden drei unabhängige und parallel stattfindende Wettbewerbe ausgetragen. Dabei müssen von den Teams bisher nicht bekannte Sicherheitslücken in Produkten, Software und Betriebssystemen wiederholt ausgenutzt werden, um im Wettbewerb erfolgreich zu sein. Das Preisgeld betrug 2019 insgesamt 1 Million US-Dollar. Aktuell kann ich die Webseite des TFC nicht erreichen, so dass keine Daten vorliegen.

Erfolgreiche Hacks am laufenden Band

Im Rahmen des zweitägigen Wettbewerbs gab es erfolgreiche Hacks, wie The Hacker news hier berichtet.  Beim TFC 2020 wurden Software-Produkte von Adobe, Apple, Google, Microsoft, Mozilla und Samsung erfolgreich gehackt. "Der diesjährige Wettbewerb hat viele Ziele", so die Organisatoren der Veranstaltung. "11 von 16 Zielen wurden mit 23 erfolgreichen Demos geknackt." Der Hacking-Wettbewerb zeigte Hacking-Versuche gegen eine Reihe von Plattformen, darunter auch:

  • Adobe PDF Reader
  • Apple iPhone 11 Pro running iOS 14 and Safari browser
  • ASUS RT-AX86U router
  • CentOS 8
  • Docker Community Edition
  • Google Chrome
  • Microsoft Windows 10 v2004
  • Mozilla Firefox
  • Samsung Galaxy S20 running Android 10
  • TP-Link TL-WDR7660 router
  • VMware ESXi hypervisor

Bei der zweitägigen Veranstaltung, die am Wochenende stattfand, nutzten White Hat Hacker aus 15 verschiedenen Teams die ursprünglichen Schwachstellen, um in drei Versuchen innerhalb von 5 Minuten in weit verbreitete Software und mobile Geräte einzubrechen.

Die Idee besteht, kurz gesagt, darin, verschiedene Webbrowser zu verwenden, um zu einer entfernten URL zu navigieren oder einen Fehler in der Software zu nutzen, um den Browser oder das zugrunde liegende Betriebssystem zu steuern.

Das Enterprise Security and Government (ESG) Vulnerability Research Institute von Qihoo 360 gewann mit einem Preisgeld von 744.500 Dollar, gefolgt vom Ant-Financial Light-Year Security Lab (258.000 Dollar) und einem Sicherheitsforscher namens Pang (99.500 Dollar). Patches für alle nachgewiesenen Fehler werden voraussichtlich in den kommenden Tagen veröffentlicht. (via)

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.