Participantes de Tianfu cup, competencia de hacking, encuentran fallas día cero en Chrome, Android, iOS 14 y Windows
Este fin de semana se llevó a cabo el evento Tianfu Cup, un hackathon celebrado una vez al año en China. En esta edición, los especialistas que participaron se enfocaron en la detección de vulnerabilidades de seguridad en iOS 14, Windows 10, Chrome, Safari, Adobe PDF Reader y muchas otras aplicaciones y sistemas operativos populares.
Son 15 los equipos que participaron en la tercera edición de la competencia, que involucra tratar de hackear un sistema o aplicación determinada en un máximo de tres intentos de cinco minutos cada uno. La ventaja es que los exploits utilizados por los hackers éticos son notificados previamente a los proveedores y desarrolladores, por lo que es imposible que estos ataques se repliquen en escenarios reales.
La edición 2020 de Tianfu Cup fue ganada por el Instituto de Investigación de Vulnerabilidades 360 ESGM, equipo que recibió alrededor de 750 mil dólares en premios. Estos investigadores también ganaron la competencia el año pasado; AntFinancial Lightyear Security Lab y el investigador de seguridad independiente Pang obtuvieron el segundo y tercer lugar. Los investigadores participantes lograron demostrar la explotación de fallas de seguridad en los siguientes desarrollos:
Al respecto, el ex director de seguridad de Facebook Alex Stamos cree que esta clase de estrategias son una buena forma para fortalecer la investigación de seguridad: “Esta y otras competiciones similares contienen lecciones difíciles sobre la cantidad de errores de software crítico en E.U. y el resto del mundo”, menciona el investigador.
A través de Twitter, Stramos continuó pronunciándose sobre esta iniciativa y la necesidad de incentivar estos programas de investigación: “En términos más concisos, los investigadores chinos están corrigiendo fallas día cero por $180 mil USD mientras que la Suprema Corte de E.U. discute sobre la legalidad de la investigación en seguridad”, concluye Stramos.
