Một nhóm bẻ khóa được cho là đã kiếm được giải thưởng 300.000 USD tiền mặt từ cuộc thi hack Tianfu Cup hàng năm ở Trung Quốc bằng cách thực hiện bẻ khóa từ xa iPhone 13 Pro chạy iOS 15.
Cuộc thi hack Tianfu Cup là đối trọng của Trung Quốc với các cuộc thi tương tự Pwn2Own ở những nơi khác trên thế giới nhằm trao giải thưởng lớn cho các nhà nghiên cứu bỏ qua các biện pháp bảo vệ trên thiết bị và phần mềm tiêu dùng. Vào ngày đầu tiên của cuộc thi năm 2021, có vẻ như một đội đã giành được giải thưởng lớn khi tấn công thành công một chiếc iPhone 13 Pro.
Nhóm Pangu, nổi tiếng với việc bẻ khóa phần cứng của Apple, đã báo cáo thực hiện thành công một cuộc tấn công nhằm vào iPhone 13 Pro và iOS 15 ở mức giải thưởng cao nhất có thể. Theo một tweet của CEO Kunlun Lab @mj0011sec được phát hiện bởi iDownloadBlog, nhóm Pangu đã quản lý một bản bẻ khóa từ xa để giành được giải thưởng cao nhất cho thiết bị và giành được vị trí đầu trong bảng xếp hạng của cuộc thi.
Theo trang web của cuộc thi, nhóm cho phép iPhone 13 Pro duyệt qua một URL từ xa để cho phép thí sinh tham gia có cơ hội “điều khiển hệ thống điện thoại”. Là một phần của thử thách, các thí sinh phải vượt qua bài kiểm tra “giảm nhẹ PAC”, với các giải thưởng bổ sung được đưa ra là thoát khỏi sandbox hoặc bẻ khóa.
Ba hạng giải thưởng được liên kết với iPhone 13 Pro, bao gồm việc thực thi mã từ xa giành được 120.000 USD, trong khi tấn công RCE qua mặt sandbox sẽ giúp mang lại cho người dự thi 180.000 USD. Đối với bản bẻ khóa từ xa, giải thưởng là 300.000 USD.
Ngoài iPhone, nhiều mục tiêu khác cũng đã bị tấn công, bao gồm thiết bị Apple và sản phẩm khác như cuộc tấn công RCE nhắm vào Safari chạy trên cả hai mẫu MacBook Pro Intel và Apple Silicon, NAS Synology, smartphone Xiaomi Mi 11, Windows 10 và Google Chrome chạy trên máy tính xách tay,… Cuộc thi hiện vẫn còn diễn ra, vì vậy có khả năng sẽ có nhiều nỗ lực chống lại phần cứng của Apple và các hãng khác thành công hơn trước khi cuộc thi chính thức kết thúc.
Trong cuộc thi năm 2020, hai cuộc tấn công thoát khỏi sandbox đã được thực hiện trên một chiếc iPhone chạy iOS 14 và mang về cho người tham gia số tiền 180.000 USD cho mỗi lần tấn công. Khó có khả năng các chi tiết về vụ hack được công khai sớm vì các chính sách tiết lộ có trách nhiệm thường yêu cầu vụ hack phải được báo cáo cho các công ty hoặc nhà phát triển có liên quan để được khắc phục trước khi tiết lộ công khai.
