TianfuCup: Sicherheitsexperten erhacken sich fast 2 Millionen US-Dollar

In den USA gibt es Pwn2Own, in China den TianfuCup. Teilnehmer zeigten dort am Wochenende erfolgreiche Hacks gegen iOS 15, Windows 10 & weitere populäre Ziele.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 6 Beiträge

Der TianfuCup präsentiert sich als international ausgelegtes Event, das in der Realität aber eher den Charakter eines nationalen Wettbewerbs hat.

(Bild: tianfucup.com)

Von
  • Olivia von Westernhagen

Seit 2018 gibt es den TianfuCup (TFC) als chinesische Antwort auf den jährlich in den USA ausgetragenen Pwn2Own-Contest. In puncto spektakuläre Hacks auf Betriebssysteme, Soft- und Hardware stand der diesjährige TFC dem US-"Vorbild" in nichts nach: Die Teilnehmer nahmen in Chengdu unter anderem Windows 10, Ubuntu 20, iOS 15 auf dem iPhone 13, Microsoft Exchange, Adobes PDF-Reader sowie die Browser Chrome und Safari in die Zange. Die meisten Exploits gelangen und die insgesamt ausgezahlte Summe lag laut abschließendem Ranking bei mehr als 1,88 Millionen US-Dollar.

2018 hatte die chinesische Regierung Chinas Sicherheitsforschern die Teilnahme an internationalen Hacker-Wettbewerben, bei denen sie zuvor oftmals sehr erfolgreich vertreten waren, verboten. Mit dem TFC als Gegenentwurf will die chinesische Staatsführung seinen Sicherheitsforschern die Möglichkeit geben, ihre Fähigkeiten zu demonstrieren und zu verbessern.

Als Gewinner im Gesamt-Ranking ging das – hierzulande unbekannte und laut dessen CEO auch noch sehr junge – Unternehmen "Kunlun Lab" mit dem höchsten Betrag von rund 654.500 US-Dollar nach Hause.

Die TFC-Veranstalter veröffentlichten vorab diese Übersicht der Preisgelder.

(Bild: Twitter)

Die meiste Aufmerksamkeit – und zugleich auch der höchste Geldbetrag für einen einzelnen Angriff – wurde einem Team zuteil, dem ein Remote-Jailbreak auf die aktuellste Version von Apples mobilem Betriebssystem iOS 15 mit allen Patches auf dem iPhone 13 Pro gelang. Mehreren Tweets mit kurzen Demo-Videos zufolge wurden dafür unter anderem Sicherheitslücken im mobilen Safari-Browser ausgenutzt. Das Pangu-Team erhielt 300.000 US-Dollar. Insgesamt soll iOS 15 dreimal erfolgreich angegriffen worden sein; unter anderem gelang auch Kunlun Lab eine Remote Code Execution-Attacke über die iOS/Safari-Konstellation.

Via Twitter kritisierten Beobachter, dass die beim TFC demonstrierten Exploits typischerweise nicht veröffentlicht würden und der Nutzen für die Community somit gering sei. In der Vergangenheit hatten die Veranstalter des Wettbewerbs allerdings versichert, dass die entdeckten Schwachstellen jeweils direkt an die Hersteller gemeldet würden. Somit dürften demnächst viele Sicherheitsupdates nicht nur für iOS 15 anstehen.

Weiterhin erfolgreich angegriffen wurden

  • Adobe PDF Reader (4 mal)
  • Apples Safari-Browser (2 mal)
  • der WLAN-Router ASUS RT-AX56U (2 mal)
  • Docker CE (1 mal)
  • Google Chrome (2 mal)
  • Microsoft Exchange Server 2019 (1 mal)
  • Microsoft Windows 10 (5 mal)
  • Parallels Desktop (3 mal)
  • QEMU VM (1 mal)
  • Ubuntu 20/CentOS 8 (4 mal)
  • VMware ESXi und (1 mal)
  • VMWare Workstation (1 mal)

Damit schlugen Angriffe auf lediglich drei aller anvisierten Ziele fehl: auf das Synology DS220j NAS, auf das Smartphone Xiaomi Mi 11 sowie auf ein nicht näher bezeichnetes "domestic vehicle". Eine Aktualisierung der Veranstaltungs-Website des TFC um aktuelle Informationen zum Event steht leider noch aus.

(ovw)