黑客在国际竞赛中破解 iOS 15、Windows 10 和 Google Chrome

在中国四川省举行的年度黑客大赛“天府杯”期间，黑客突破了 iOS 15、Windows 10 和 Google Chrome 的防御。根据部分厂商的声明，本次比赛中利用的某些零日漏洞已经或即将得到修复。

前几天我们在专栏里讨论过，中国黑客仅用 15 秒就成功破解了 iPhone 13。这一壮举是在天府杯（10 月 16 日至 17 日）期间实现的，这是一项每年在中国四川省举行的黑客比赛。该活动已成为中国黑客精英不可错过的活动，特别是因为他们被禁止参加本国境外的类似比赛。

中国黑客精英造成严重破坏

然而，据我们网站上的同事报道福布斯天府杯的参赛者在本次比赛中表现出色，不仅攻克了 iOS 15.0.2 的防御，还攻克了众多流行服务和产品的防御。因此，黑客设法利用了其中发现的五个安全漏洞Windows 10，其中之一会影响 Microsoft Exchange。至于谷歌浏览器，黑客利用了两个漏洞来瘫痪该浏览器。

然而，受害者名单还不止于此：Adobe PDF、华硕 AX56U 路由器、Docker CE、Parallels VM、QEMA VM、Ubuntu 20、VMware ESXi 和 Workstation 也遭到了出色的黑客攻击。正如你可能怀疑的那样，有关被利用的漏洞及其影响的详细信息将在未来几个月内未知。

事实上，此类竞争的参与者通常都会进行“负责任的披露”。换句话说，他们承诺在制造商有时间发布补丁之前不会提供有关被利用缺陷的详细信息。不过，天府杯的地位有些特殊。事实上，中国于 2021 年 9 月 1 日颁布了一项新法律，要求任何中国公民向政府披露发现的任何零日漏洞。

在特定点上的令人担忧的竞争

对于 Lookout 首席 IT 安全工程师 Kristina Balaam 来说，这项措施令人担忧，因为它意味着“中国政府可以存储大量针对其他地区广泛使用的产品的零日漏洞，并在成功修补这些产品之前获得利用这些产品所需的知识“。

尽管如此，对于 IT 安全公司 BreachQuest 的联合创始人 Jack Williams 来说，天府杯你不用太担心。正如他所指出的，参与者非常有兴趣将他们发现的漏洞保密，然后在比赛中利用它们。原因是什么？在竞争中揭露这些缺陷更有利可图并赢得奖品，而不是将其透露给制造商（通过错误搜寻程序）或当局。举个例子，盘古队将其收入囊中天府期间30万美金 杯子用于越狱iPhone 13iOS 15.2 下。

对于受竞赛期间利用的缺陷影响的制造商，微软保证“符合我们立即支持标准的经过验证的安全问题的解决方案通常会作为补丁星期二的一部分发布。至于谷歌，该公司刚刚修复 Google Chrome 95 上的两个零日安全漏洞。一切都表明这就是比赛中被利用的两个漏洞。