reiboot

В марте 2017 года группа китайских хакеров прибыла в Ванкувер, Канада, с одной целью: найти скрытые слабые места и лазейки в самых распространенных технологиях в мире. Google Chrome, операционная система Microsoft Windows и системы Apple были их target, но закон никто не нарушал - это лишь некоторые из тех, кто участвовал в Pwn2Own, одном из самых популярных хакерских соревнований в мире.


Конкурс Pwn2Own

Это была десятая годовщина Pwn2Own, конкурса, который привлекает элитных хакеров и экспертов по безопасности со всего мира с большими денежными призами, если они обнаруживают ранее не обнаруженные уязвимости, известные как «нулевые дни».

 Как только недостаток обнаружен, детали передаются вовлеченным компаниям, давая им время исправить их, а хакер получает денежное вознаграждение и вечное право хвастаться.

В течение многих лет китайские хакеры были самой доминирующей силой в таких соревнованиях, как Pwn2Own, забирая домой призы на миллионы долларов и утверждая себя среди элиты. Но в 2017 году все это прекратилось.

В своем заявлении основатель и генеральный директор-миллиардер китайского гиганта кибербезопасности Qihoo 360 - одной из самых важных технологических компаний в Китае - подверг критике граждан Китая, которые уехали за границу для участия в хакерских соревнованиях.

В интервью китайскому новостному сайту Sina Чжоу Хунги сказал, что хорошее выступление на таких мероприятиях - это просто «фантастический» успех, и Чжоу предупредил, что, когда китайские хакеры обнаруживают слабые места в зарубежных соревнованиях, «их больше нельзя использовать». по его словам, хакеры и их опыт в области кибербезопасности должны оставаться в Китае до тех пор, пока они не осознают истинное значение и стратегическую ценность уязвимостей программного обеспечения.

Вскоре после этого китайское правительство запретило исследователям кибербезопасности посещать зарубежные соревнования по борьбе с пиратством, а несколько месяцев спустя в Китае возникло новое соревнование, которое заменило международные соревнования, Кубок Тяньфу, как его называли, с призами на сумму более XNUMX миллиона долларов.

Инаугурационное мероприятие состоялось в ноябре 2018 года, и главный приз в размере 200000 долларов получил исследователь Циксун Чжао, который показал замечательную серию эксплойтов, которые позволили ему легко контролировать новейшие устройства iPhone, а китайский исследователь обнаружил слабость в ядре. операционной системы iPhone, что такое ядро, ядро ​​и результат?

Удаленный злоумышленник может захватить любое устройство iPhone, которое посетило веб-страницу, содержащую вредоносный код Qixun, это вид взлома, который можно продать за миллионы долларов на открытом рынке, чтобы дать преступникам или правительствам возможность шпионить за большим количеством людей. людей исследователь назвал эту уязвимость «Хаосом», а два месяца спустя, в январе 2019 года, Apple выпустила обновление, в котором исправлена ​​ошибка, и все готово.

Но в августе того же года Google опубликовал исключительный анализ пиратской кампании, в которой, по его словам, использовались iPhone в совокупности. Исследователи проанализировали пять различных цепочек обнаруженных ими цепочек эксплойтов. Эта уязвимость включала Qixun, который выиграл первый приз в Тяньфу, и который был обнаружен другим хакером.

Исследователи Google отметили сходство между атаками, используемыми в реальном мире, и уязвимостью Chaos. Но они, похоже, не были заинтересованы в том, чтобы узнать личность жертвы и преступника, жертвой были уйгурские мусульмане и нападение китайского правительства.


Разгон

За последние семь лет Китай совершил нарушения прав человека в отношении уйгуров и других групп меньшинств в западной провинции Синьцзян. Хорошо задокументированные аспекты кампании включают концентрационные лагеря, систематическую принудительную стерилизацию для предотвращения деторождения, пытки, организованные изнасилования, принудительный труд и беспрецедентные усилия по наблюдению.

Официальные лица в Пекине утверждают, что Китай работает над борьбой с терроризмом и экстремизмом, но Соединенные Штаты, среди других стран, охарактеризовали эти меры как геноцид, добавив нарушения к беспрецедентному подавлению высоких технологий, которое доминирует в жизни уйгуров, полагаясь на часть о целевых пиратских кампаниях.

Китайское пиратство уйгуров настолько агрессивно, что выходит далеко за пределы государственных границ, и преследуются журналисты, диссиденты и все, кто вызывает подозрения Пекина в недостаточной лояльности.

Вскоре после того, как исследователи Google заметили атаки, Apple опубликовала редкую запись в своем медиа-блоге Он подтвердил, что атака произошла в течение двух месяцев, то есть периода, который начался сразу после того, как Qixun выиграл Кубок Тяньфу, и продолжается до тех пор, пока Apple не выпустит реформу.

Apple заявляет, что уйгурские мусульмане в Китае стали жертвами недавней хакерской кампании на iPhone, и американцы пришли к выводу, что китайцы в основном следовали плану «стратегической ценности», разработанному Чжоу Хунги из Qihoo, в котором используется кубок Тяньфу. Она была быстро передана китайской разведке, которая затем использовала ее для шпионажа за уйгурами.

Наконец, эти уязвимости имеют невероятную ценность не только с финансовой точки зрения, но и с точки зрения их способности создавать открытое окно для шпионажа и репрессий, как это произошло с уйгурскими мусульманами, когда их отслеживали и контролировали в режиме реального времени.

Расскажите нам, что вы думаете, в комментариях И лазейки становятся силой в руках тех, кто ими владеет, и когда наша страна обладает этой властью?

المصدر:

technologyreview

Статьи по теме