Un gruppo che si occupa di jailbreaking ha vinto un premio di 300.000$ nell’ambito di Tianfu Cup, competizione di hacking nazionale che si svolge ogni anno in Cina ed è una sorta di risposta cinese alla gara per hacker nota come Pwn2Own, con vari premi secondo il tipo di falle che si riesce a dimostrare e sfruttare.
L’hack che consente il jailbreak da remoto di iPhone 13 Pro con iOS 15, è quello che ha permesso di ottenere il premio più alto. Stando a quanto riferisce in un tweet il CEO di Kunlun Lab, come segnala iDownloadBlog, il Team Pangu è riuscito a dimostrare la possibilità di attivare il jailbreak da remoto, ottenendo il premio più alto e classificandosi al primo posto in questa gara di hacking (nel senso nobile del termine).
Stando a quanto riferito nel sito dedicato all’evento, il team doveva riuscire a dimostrare la possibilità di attivare il jailbreak visitando un sito web da remoto, permettendo ai partecipanti di controllare il sistema. Nel quadro della sfida è stato necessario dimostrare la possibilità di bypassare i controlli sul PAC (Pointer Authentication Code) per eseguire il codice necessario all’ottenimento dell’accesso root, e premi aggiuntivi sono stati previsti per la dimostrazione della possibilità di bypassare la sandbox (l’area nella quale le app sono normalmente eseguite impedendo di accedere ai file archiviati da altre app o di effettuare modifiche al dispositivo) o eseguire il jailbreak.
Tre i livelli di premi previsti per l’iPhone 13 Pro: 120.000$ per l’esecuzione di codice da remoto, 180.000$ per l’esecuzione di codice da remoto fuori dalla sandbox, e 300.000$ per il jailbreak da remoto.
L’iPhone è solo uno dei target che era possibile scegliere. Sono stati predisposti premi per la dimostrazione di attacchi da remoto usando Safari su Mac per CPU Intel e Apple Silicon, NAS di Synology, lo smartphone Xiaomi Mi 11, Windows 10, Google Chrome e altri target ancora.
Nel 2020, nell’ambito della stessa competizione, furono individuate due vulnerabilità di iPhone su iOS 14, falle che permisero a due partecipanti di questo concorso per hacker di guadagnare 180.000$ ciascuno.
L’obiettivo di queste gare è dimostrare la possibilità di exploit (codice che sfrutta una vulnerabilità di un sistema permettendo l’esecuzione di codice malevolo, generalmente con lo scopo di acquisire i privilegi di amministratore della macchina colpita), evidenziando vulnerabilità finora ignote. Riuscendo a portare a termine l’attacco, i ricercatori guadagnano punti che consentono di scalare una classifica, ottenere premi in denaro ma anche la fama che deriva da questo tipo di competizione (è un modo per farsi notare da big del settore e aziende specializzate in sicurezza).
Dopo avere dimostrato le falle, queste vengono comunicate alle varie aziende che hanno tempo tipicamente tre mesi per poterle risolvere. Solo dopo alcuni mesi vengono rivelati i dettagli.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.