По телевизиите на нашата страна сме свикнали да виждаме най-странните и разнообразни състезания. Далеч от „1,2,3 отговора отново“ и „жълтия хумор“ на японците, днес се забавляваме, като гледаме блокбъстъри на изолирани знаменитости на безлюдни острови или подобни неща.
Има ежегодно състезание, което често остава незабелязано за нас, но има огромно количество последователи в целия свят. Това е за "Pwn2Own«, Където най-известните хакери са подложени на изпитание, като ги карат да„ разбиват “различни системи на живо. Един от тях спечели добре, като хакна експлойт на Safari.
Всяка година инициативата Zero Day организира конкурс за хакване, наречен "Pwn2Own", където изследователите по сигурността могат да печелят пари, ако открият сериозни уязвимости на живо на големи платформи като Windows и macOS.
Това виртуално събитие "Pwn2Own 2021" започна по-рано тази седмица и се включи 23 опита за хакване разделени на 10 различни продукта, включително уеб браузъри, виртуализация, сървъри и др. Състезание с продължителност няколко часа на ден в продължение на три последователни дни, излъчвано на живо в YouTube.
Системите на Apple не бяха силно атакувани в това издание на състезанието, но на първия ден, Джак дати RET2 Systems пусна Safari експлойт "до нулевия ден на ядрото" и спечели Щатски долара 100.000. Използва целочислено препълване в Safari и OOB скрипт, за да получи изпълнение на код на ниво ядро, както е сертифицирано от чуруликане на организацията.
Честито Джак! Кацане на Apple Safari с 1 клик на Kernel Zero-day в # Pwn2Own 2021 от името на RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs
- RET2 системи (@ ret2systems) Април 6, 2021
Те не само хакнаха Safari
Други опити за хакване по време на събитието „Pwn2Own“ са насочени към Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome и Microsoft Edge, получавайки повече или по-малко богатство.
Например холандските изследователи Daan Keuper и Thijs Alkemade демонстрираха сериозен недостатък в сигурността Zoom. Дуото използва три недостатъка, за да получи пълен контрол над целевия компютър с помощта на приложението Zoom без взаимодействие с потребителя.
Участниците в Pwn2Own получиха повече 1,2 милиона в награда за откритите грешки. Pwn2Own дава на доставчици като Apple 90 дни, за да изготвят корекция за откритите уязвимости, така че можем да очакваме грешката да бъде отстранена в предстояща актуализация.