天府杯網路安全大賽設定的16個攻擊目標中,安全團隊成功攻陷了當中的13個,只有Microsoft Edge、VMware Workstation與Microsoft Exchange Server 2019倖免於難。(圖片來源/TianfuCup)

中國在11月7日舉行為期兩天的天府杯網路安全大賽,這是中國於2018年自創的駭客競賽,以與趨勢科技所主辦的Pwn2Own互別苗頭,第三屆總計有15個隊伍參賽,在本次比賽所設定的16個攻擊目標中,安全團隊成功攻陷了當中的13個,涵蓋iOS 14、Galaxy S20、Windows 10 v2004、Ubuntu/CentOS 8、Chrome、Safari、Firefox、Adobe PDF Reader、Docker社群版、VMWare EXSi 、Ubuntu /qemu-kvm,以及TP-Link/ASUS路由器韌體。

而倖免於難的3個目標分別是Microsoft Edge、VMware Workstation與Microsoft Exchange Server 2019。

有些產品同時被好幾個團隊攻陷,像是有4個團隊破解了TP-Link WDR7660路由器,亦有5個團隊破解了Adobe PDF Reader,還有兩個團隊破解了執行iOS 14的iPhone 11 Pro,各自獲得18萬美元的獎金。

奇虎360的企業安全暨政府漏洞研究所(ESG)為此次競賽的大贏家,除了贏回74.45萬美元的獎金之外,也獲頒最佳產品破解獎的一等獎,居次的是螞蟻安全光年實驗室,該實驗室除了抱回25.8萬美元的獎金,取得最佳產品破解獎二等獎之外,也因成功攻陷iPhone 11 Pro/iOS 14而額外贏走了最具價值產品破解獎。

觀察天府杯的官網,可以發現它的主辦方集結了中國的產官學界,從百度、阿里巴巴、360、奇安信,到清華大學,以及中國科學院的訊息工程研究所,表列了16家組織,而非單純的民間駭客競賽。

天府杯遵照國際慣例,把比賽中揭露的漏洞及攻擊程式與軟體供應商分享,而Mozilla在獲得通知之後,隔天就更新了Firefox與Thunderbird,以修補於該競賽中被攻陷的CVE-2020-26950漏洞。


熱門新聞

Advertisement