iPhone 13 Proのリモート脱獄でハッキングコンテストの研究者が30万ドルを獲得

報道によると、脱獄グループはiOS 15を搭載したiPhone 13 Proでリモート脱獄を実行し、中国で毎年開催されるハッキングコンテスト「天府杯」で30万ドルの賞金を獲得したという。

天府杯ハッキングコンテストは、世界各地で行われているPwn2Ownのようなコンテストの中国版であり、消費者向けデバイスやソフトウェアの保護を回避した研究者に高額賞金が授与されます。2021年のコンテスト初日には、iPhone 13 Proへの攻撃に成功したチームが既に大きな賞金を獲得したようです。

Appleハードウェアのジェイルブレイクで知られるPanguチームが、iPhone 13 ProとiOS 15への最高賞金レベルの攻撃に成功したと報じられています。iDownloadBlogが発見したKunlun LabのCEO @mj0011sec 氏のツイートによると、Panguチームはリモートジェイルブレイクに成功し、デバイスに提供された最高賞金を獲得し、コンテストのランキングで首位を獲得しました。

コンテストのウェブサイトによると、参加者はiPhone 13 ProでリモートURLを閲覧できるようにし、「電話システムを制御する」機会を得る必要がありました。チャレンジの一環として、参加者は「PAC緩和策」を回避する必要があり、サンドボックスからの脱出や脱獄には追加の賞品が用意されていました。

iPhone 13 Proには3段階の賞金が設定されており、リモートコード実行（RCE）には12万ドル、サンドボックスからの脱出によるRCEには18万ドルが授与されます。リモートジェイルブレイク（Jailbreak）には30万ドルが授与されます。

iPhoneは、Appleデバイスと他社製品の両方を含む、この競争における数多くの攻撃対象の一つに過ぎません。その他の攻撃対象には、IntelおよびApple Silicon搭載MacBook Proモデルで動作するSafari、Synology NAS、Xiaomi Mi 11スマートフォン、ノートパソコンで動作するWindows 10およびGoogle Chromeなどが含まれます。

大会の残り日数が1日となったため、大会が正式に終了する前に、Apple のハードウェアやその他のハードウェアに対するさらなる成功した試みが報告される可能性がある。

2020年のコンテストでは、iOS 14を実行しているiPhoneに対して2回のサンドボックス脱出が行われ、参加者は1回につき18万ドルを獲得しました。

責任ある情報開示ポリシーでは、ハッキングが一般公開される前に、関係する企業や開発者に報告して修正してもらうことが通常求められるため、ハッキングの詳細がすぐに公表される可能性は低い。