Các nhà nghiên cứu bảo mật Trung Quốc đã giành được 1,88 triệu đô la từ cuộc thi “hack” lớn nhất và uy tín nhất trong nước tại Tianfu Cup.
Cuộc thi diễn ra vào cuối tuần ngày 16 và 17 tháng 10 tại thành phố Thành Đô, với giải thưởng cho đội thắng cuộc là 654.500 đô la (một phần ba tổng số tiền thưởng) thuộc về các nhà nghiên cứu từ công ty bảo mật Kunlun Lab của Trung Quốc.
Đây là lần thứ 4 cuộc thi được tổ chức, và nó tuân theo các quy tắc cũ được thiết lập trong cuộc thi hack Pwn2Own.
Vào tháng 7, ban tổ chức đã công bố một loạt mục tiêu để những người tham gia có khoảng ba đến bốn tháng chuẩn bị cho khai thác trên các thiết bị được ban tổ chức cung cấp trong phạm vi cuộc thi.
Các nhà nghiên cứu chỉ có tối đa 3 lần, mỗi lần 5 phút để thực hiện các khai thác của họ và họ có thể đăng ký khai thác nhiều thiết bị trong cuộc thi.
Cuộc thi năm nay bao gồm 16 mục tiêu với 11 người tham gia đã thực hiện thành công các khai thác trên 13 mục tiêu.
Ba mục tiêu không bị tấn công bao gồm Synology DS220j NAS, điện thoại thông minh Xiaomi Mi 11 và một chiếc xe điện Trung Quốc (đây cũng là mục tiêu mà không người tham gia nào đăng ký để khai thác nó).
Các mục tiêu đã bị khai thác bao gồm:
- Windows 10 - bị tấn công 5 lần
- Adobe PDF Reader - 4 lần
- Ubuntu 20 - 4 lần
- Parallels VM - 3 lần
- iOS 15 - 3 lần
- Apple Safari - 2 lần
- Google Chrome - 2 lần
- Bộ định tuyến ASUS AX56U - 2 lần
- Docker CE - 1 lần
- VMWare ESXi - 1 lần
- VMWare Workstation - 1 lần
- qemu VM - 1 lần
- Microsoft Exchange - 1 lần
Hầu hết các khai thác sử dụng lỗ hổng leo thang đặc quyền và lỗ hổng thực thi mã từ xa; trong đó có hai khai thác nổi bật được trình bày tại Tianfu Cup năm nay.
Đầu tiên là tấn công thực thi mã từ xa không yêu cầu tương tác của người dùng trong bản cập nhật mới nhất của iOS 15 chạy trên iPhone 13. Thứ hai là chuỗi thực thi mã từ xa với hai bước đơn giản trong Google Chrome chưa từng xuất hiện trong các cuộc thi hack trước đó.
Ngoài cuộc thi hack Tianfu Cup, chương trình năm nay còn có hoạt động triển lãm thương mại và hội nghị an ninh mạng riêng biệt do Qi Xiangdong, chủ tịch công ty bảo mật QiAnXin phát biểu, bao gồm các nội dung liên quan đến bảo mật trong xe thông minh, IoT, trí tuệ nhân tạo và thành phố thông minh.
Nguồn: The Record
Tín nhiệm mạng | Quy định/Quy tắc này áp dụng với Chương trình Bug Bounty cho nền tảng chuyển đổi số quốc gia do Bộ Thông tin và Truyền thông phát động nhằm đảm bảo an toàn, an ninh mạng/an toàn thông tin/tìm ra những lỗ hổng bảo mật sớm nhất trên các nền tảng Chuyển đổi số quốc gia và các ứng dụng chuyển đổi số phổ biến.
Tín nhiệm mạng | Ngày 14/10, Acer đã xác nhận công ty đã bị vi phạm bảo mật lần thứ hai trong năm nay sau khi tin tặc rao bán hơn 60 GB dữ liệu của công ty trên một diễn đàn tội phạm mạng ngầm.
Tín nhiệm mạng | WhatsApp đang triển khai tính năng sao lưu các cuộc trò chuyện với mã hóa đầu cuối (end-to-end/e2e) trên iOS và Android để ngăn chặn bất kỳ truy cập trái phép vào các cuộc trò chuyện của bạn, bất kể chúng được lưu trữ ở đâu.
Tín nhiệm mạng | Nhóm phân tích mối đe dọa của Google (TAG) cho biết họ đang theo dõi hơn 270 nhóm tin tặc được chính phủ hậu thuẫn từ hơn 50 quốc gia. Google cũng đã gửi khoảng 50.000 cảnh báo về các vấn đề lừa đảo và phần mềm độc hại cho khách hàng kể từ đầu năm 2021.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật cho biết tin tặc có thể đánh cắp toàn bộ số tiền trong ví của bất kì tài khoản OpenSea bằng cách dụ họ nhấp vào NFT chứa mã độc.
Tín nhiệm mạng | Google đã ra mắt bài trắc nghiệm về Tấn công giả mạo. Đây là sản phẩm kết hợp giữa Google và NCSC nhằm nâng cao nhận thức của người dùng về các vấn đề lừa đảo trên không gian mạng.