Plusieurs produits logiciels d’Adobe, Apple, Google, Microsoft, Mozilla et Samsung ont été traités avec succès par des exploits inédits dans Coupe Tianfu 2020, la troisième édition du concours international de cybersécurité organisé dans la ville de Chengdu, en Chine.
« De nombreux objectifs matures et durs ont été fixés sur le concours de cette année », les organisateurs de l’événement m’a dit. « 11 cibles sur 16 ont été fissurées avec 23 démos réussies. »
La compétition de piratage a montré des tentatives de piratage contre un nombre de plateformes, comprenant:
- Adobe PDF Reader
- Apple iPhone 11 Pro sous iOS 14 et navigateur Safari
- Routeur ASUS RT-AX86U
- CentOS 8
- Édition communautaire Docker
- Google Chrome
- Microsoft Windows 10 v2004
- Mozilla Firefox
- Samsung Galaxy S20 sous Android 10
- Routeur TP-Link TL-WDR7660
- Hyperviseur VMware ESXi
La Tianfu Cup, analogue à Pwn2Own, a été lancée en 2018 suite à une la réglementation gouvernementale dans le pays qui a empêché les chercheurs en sécurité de participer à des concours internationaux de piratage en raison de problèmes de sécurité nationale.
L’événement de deux jours, qui s’est déroulé au cours du week-end, a vu des pirates blancs de 15 équipes différentes utiliser des vulnérabilités originales pour pénétrer dans des logiciels et des appareils mobiles largement utilisés en 5 minutes en trois tentatives.
L’idée, en un mot, est d’utiliser divers navigateurs Web pour naviguer vers une URL distante ou d’utiliser une faille dans le logiciel pour contrôler le navigateur ou le système d’exploitation sous-jacent.
L’Institut de recherche sur les vulnérabilités ESG (Enterprise Security and Government (ESG) de Qihoo 360 est arrivé en tête avec 744 500 $ de prix, suivi par Ant-Financial Light-Year Security Lab (258 000 $) et un chercheur en sécurité nommé Pang (99 500 $)).
Des correctifs pour tous les bogues démontrés devraient être publiés dans les prochains jours.