中国在价值200万美元的比赛中展示了其黑客实力 - 彭博社

Jamie Tarabay

2021-10-29

摄影师：安德烈·鲁达科夫/彭博社嗨，我是悉尼的杰米。在中国，国家的炫耀方式已经从阅兵式转变为黑客马拉松比赛。但首先…

今日科技头条：

Facebook已经更名为Meta，拥抱虚拟现实未来愿景
Facebook，咳咳，Meta宣布推出新产品，包括为Oculus推出的《侠盗飞车》游戏
亚马逊表示可能在今年假期季节没有盈利

爱国黑客

本月，中国顶尖网络安全专家从全国各地前往四川省会成都参加了一场黑客马拉松风格的比赛。

这个名为天府杯的活动展示了中国顶尖安全专家的网络实力，而此时中国黑客被牵涉到多起重大国际袭击事件中。

比赛规则很简单：团队有三次独立的尝试，在五分钟内利用原始漏洞或利用程序攻击设备。他们必须展示攻击方式，获取设备访问权限并破解操作系统。奖金总额近200万美元。

天府杯尤为重要，因为中国黑客不参加国外类似比赛。2017年，中国网络安全公司奇虎360的创始人周鸿祎公开批评了前往海外参加黑客马拉松比赛的中国公民。他告诉中国媒体，中国专家发现的漏洞应该留在中国。

随后的一年，天府杯举办了首届比赛。最高奖项授予了一位研究人员，他展示了一系列利用漏洞的技巧，使他能够利用他在苹果公司的iPhone操作系统中发现的一个弱点—有效地使他能够控制访问他网页的任何iPhone，该网页包含恶意代码。

这个黑客行为在接下来的一年再次被提起，当时谷歌的威胁分析小组发现了五个独立的iPhone利用链，涵盖了苹果操作系统的几个版本，表明“一个团体正在持续努力黑进某些社区的iPhone用户”。一周后，苹果表示这次攻击影响了涉及中国被迫害维吾尔族社区内容的网站。

在今年的天府杯比赛中，于10月16-17日举行，新闻报道称有11名参与者成功地对13个目标执行了利用。名单很长：微软公司的Windows 10被黑了五次。苹果的iOS 15被黑了三次。Safari、Chrome和Microsoft Exchange，以及Adobe和Ubuntu也榜上有名。还有一台华硕路由器。

这种比赛旨在与供应商—以及根据9月生效的立法与政府分享漏洞。大多数供应商没有回应对结果的评论请求。Alphabet公司的谷歌知道在Chrome中发现的问题，并将在未来几周内推出修复措施，该公司表示。

对于网络安全分析人员来说，目标的选择—绝大多数是西方公司—看起来也像是一种有意的示威。在这13个目标中，只有三个是中国的，其中包括一辆电动车，因为没有人注册尝试利用，总部位于马萨诸塞州萨默维尔的Recorded Future的出版物 The Record 报道。

“这实际上是展示实力的一种方式，”位于山景城的网络安全公司SentinelOne的威胁情报负责人Matan Rudis说。“这表明他们有足够的人力资源来做这些事情。”

美国外交关系委员会数字与网络空间政策项目主任、中国网络安全政策专家Adam Segal表示，天府杯几乎变成了一场网络军备竞赛。与典型的黑客马拉松不同，中国控制着专家可以参加哪些比赛，以及他们可以黑入哪些目标。他说，这种影响将“原本更多国际合作的过程转变为更直接支持中国网络安全的过程。” — Jamie Tarabay

如果你只读一篇文章

大老师正在观察： AI间谍软件如何占领了不断增长的虚拟教育世界。

以下是你需要知道的

苹果股价暴跌，周四晚间交易中，该公司未能达到收入预期，受到供应限制的影响。

谷歌、推特、Snap和其他大约两打主要科技公司正在组建催化科技联盟，周四宣布，旨在改善工作场所多样性。

一位高级执行官在中国根植的支付终端制造商PAX Technology遭到多次FBI突袭后辞职。