Tianfu Cup 2020: China hackt Apple, und wird dafür bezahlt
Alexander Trust, den 10. November 2020
Auch wenn die Überschrift es andeutet, ist alles halb so schlimm. In China fand der „Tianfu Cup“ 2020 statt, auf dem Hacker ihr können unter Beweis stellen konnten. Aufgabe war unter anderem, Sicherheitslücken in iOS und macOS aufzudecken. Erfolgreiche Hacker bekamen dafür insgesamt 420.000 US-Dollar Siegerprämie. Die Veranstaltung dürfte jedoch ganz im Sinne Apples gewesen sein.
Da die chinesische Regierung es per Gesetz untersagte, eigenen Staatsbürgern an internationalen Hacker-Wettbewerben teilzunehmen, wird seit einiger Zeit schon der Tianfu Cup in China selbst veranstaltet. Zuvor gehörten chinesische Hacker bei Events wie dem Pwn2Own-Wettbewerb in Kanada zu den besten. Die chinesische Administration hatte jedoch Angst, im Ausland könnte man Staatsgeheimnisse erfahren.
Tianfu Cup 2020: Apple hacken gegen Geld
Der diesjährige Tianfu Cup 2020 fand am vergangenen Wochenende statt. Hacker bekommen auf dem Wettbewerb Aufgaben gestellt und können dann Lösungen dafür präsentieren, für die sie unter Umständen sogar eine Siegprämie erhalten.
Angriffsziele in diesem Jahr waren Safari auf einem 13 Zoll MacBook Pro und ein iPhone 11 Pro mit iOS 14.
Anforderungen erfüllen
Nun geht es bei dem Wettbewerb nicht um „Spielereien“, sondern tatsächlich um ernst zu nehmende Sicherheitslücken, die Angreifern erlauben, Apples Sicherheitsmechanismen zu umgehen.
Safari am Mac ausgehebelt
Die Aufgabe für Safari am Mac lautete: Nach dem Besuch einer Webseite musste entweder der Browser oder sogar der ganze Mac kontrollierbar werden.
Als Preisgelder wurden hier zum Beispiel 40.000 US-Dollar ausgelobt, wenn man in der Lage war, fremden Code auszuführen. Wenn man zusätzlich auch Apples Sandbox umgehen konnte, stieg das Preisgeld gar auf 60.000 US-Dollar an.
iOS 14 austricksen
Darüber hinaus konnten Hacker zeigen, wie Sie iOS 14 austricksen. 120.000 US-Dollar wurden vergeben, wenn man es schaffte, fremden Code auszuführen und sogar 180.000 US-Dollar, wenn man die Sandbox umgehen konnte. Gar 300.000 US-Dollar hätten die Hacker bekommen, wenn sie Geräte aus der Entfernung mit einem Jailbreak hätten entsperren können. Letzteres ist Hackern nicht gelungen.
Preisgelder in Millionenhöhe
Die Organisatoren des Hack-Wettbewerbs verteilten am Ende mehr als eine Million US-Dollar. Einem Team war es gelungen, der Sandbox in Safari am Mac zu entkommen. Zwei weitere Teams waren in der Lage die Sandbox in iOS 14 zu umgehen. Dies kann man der Resultatliste entnehmen.
Zu den Gewinnern gehört das Team „Qihoo 360 Enterprise Security and Government Vulnerability Research Institute“. Die Hacker bekamen insgesamt 744.500 US-Dollar Preisgelder. Auf Rang 2 landete das „Ant-Financial Light-year Security Lab“. Es erhielt 258.000 US-Dollar. Schließlich erhielt IT-Forensiker „Pang“ noch 99.500 US-Dollar.
Apple kann Fehler beheben
Nun aber zu den positiven Nachrichten. Denn die für Apple-Systeme gefundenen Sicherheitslücken wurden dem Konzern aus Cupertino bereits mitgeteilt. Apple hat Zeit, die Fehler zu beheben, ehe die Organisatoren des Wettbewerbs Details zu den Sicherheitslücken publik machen.
