È sempre più chiaro che la sicurezza è solo un’illusione, poiché gli hacker sconfiggono costantemente anche i sistemi operativi e le piattaforme più sicuri.
L’ultimo rapporto proviene dal concorso di sicurezza informatica della Tianfu Cup, che ha visto violare un’ampia varietà di dispositivi e applicazioni. Le vittime includono l’iPhone 13 Pro con iOS 15.0.2 violato due volte con un exploit di esecuzione di codice remoto e un jailbreak di iOS 15.
Microsoft non poteva esultare, poiché l’azienda ha visto 5 exploit riusciti di Windows 10 e uno per Exchange, mentre Google ha rilevato due exploit per Chrome.
Altri obiettivi interessati includono Adobe PDF, il router Asus AX56U, Docker CE, Parallels VM, QEMA VM, Ubuntu 20, VMware ESXi e Workstation.
Gli hacker cinesi devono mostrare il loro lavoro alla Tianfu Cup poiché sono stati banditi dalla partecipazione a concorsi internazionali come Pwn2Own. Alcune fonti temono che il governo cinese possa accumulare hack per la futura guerra informatica, poiché una nuova legge cinese del 1° settembre 2021 richiede ai cittadini cinesi di rivelare al governo eventuali vulnerabilità zero-day.
“Il governo cinese potrebbe accumulare un numero significativo di zero-day contro prodotti ampiamente utilizzati in altre regioni e avere accesso alle conoscenze necessarie per sfruttare questi prodotti prima che vengano corretti con successo”, ha affermato Kristina Balaam, ingegnere senior dell’intelligence sulla sicurezza presso Lookout.
“Questo è l’equivalente informatico di sorvolare Taiwan”, ha affermato Sam Curry, chief security officer di Cybereason.
Gli hack vincenti sono stati tuttavia divulgati ai fornitori interessati. Un portavoce di Microsoft ha dichiarato a Forbes che”tutte le vulnerabilità segnalate nell’ambito del concorso vengono divulgate in modo responsabile e confidenziale. Le soluzioni ai problemi di sicurezza verificati che soddisfano i nostri criteri per l’assistenza immediata vengono normalmente rilasciate tramite la nostra cadenza mensile di aggiornamento del martedì”. Google ha già iniziato a implementare le correzioni per le vulnerabilità rilevate nell’evento del 16-17 ottobre in Chrome 95.0.4638.69, rilasciato il 28 ottobre 2021.
tramite Forbes
