綜合美國新聞週刊(Newsweek)、麻省理工學院所屬的科技雜誌“MIT Technology Review”和法國“新觀察家”雜誌等報導,全球“白帽黑客”(white hat)盛事“Pwn2Own”競賽原本是各國精英黑客的“武林大會”,宗旨是找出未曾發現的軟件漏洞,並提供給相關公司進行修補。
中國黑客一直是“Pwn2Own”主要參與者之一,但中國網絡安全服務公司“奇虎360”創辦人周鴻禕,對此並不滿意。他曾公開批評參賽者,認爲黑客與相關知識應該留在中國,才能瞭解軟件漏洞的重要性和“戰略價值”。奇虎360一直被外界詬病隱私安全。而周鴻禕的觀點後來也被中共官方採納,北京認爲中國黑客的發現應該爲中共的安全部門所用。
自從2018年開始,中國的黑客就不再參加每年在加拿大溫哥華舉行的“Pwn2Own”黑客比賽,中國網絡安全研究人員也被禁止參加海外的黑客比賽。與此同時,北京從2018年開始舉辦名爲天府杯的中國黑客大賽,獎金最高超過100萬美元。
2018年的首屆天府杯,由奇虎360的研究人員趙奇勳奪得了最大獎。由於蘋果手機作業系統的內核有缺陷,趙奇勳發現,可以從蘋果內置瀏覽器“Safari”爲突破點,只要訪問被嵌入他編寫的惡意代碼的網頁,遠端黑客即可接管任何蘋果手機,讓犯罪集團或政府得以監控人民。
首屆天府盃賽事結束後的2個月,蘋果公司便發佈修補該漏洞的更新程式。2019年8月,Google發表一份針對黑客活動的分析,指出有心人士正在利用蘋果手機監視他人,研究人員發現5個獨特的漏洞開發鏈,其中便包括趙奇勳贏得天府杯的漏洞利用程式。
谷歌的這份報告沒有說明哪些用戶是黑客的目標,只是表示,至少在過去兩年間,“某些社羣”的iPhone用戶數據可能被竊取。只要用戶訪問一個受感染的網站就可能會被攻擊,而攻擊“可能每週影響數千名訪問者”。
IT科技網站TechCrunch援引圈內消息人士報導稱,谷歌所提到的“社羣”即是中國的維吾爾人。有關網站很可能是得到中共當局支持的監控行動的一部分。
美國安全機構也發現,中國黑客突破蘋果手機的安全漏洞後,迅速轉交給中共情報部門,使其得以用來監控維吾爾人。對此,奇虎360和天府杯均未回應,趙奇勳則堅決否認參與,蘋果和Google也拒絕發表評論。
由於天府杯的贊助商包括阿里巴巴、百度、奇虎360等知名企業,美國政府質疑這些賽事和中共軍方有關。奇虎360被美國商務部認定涉及中共當局的軍事採購業務,將其列入出口管制黑名單之一。協助舉辦天府杯的“天融信”(Topsec),據稱爲中共官方提供黑客培訓、服務和就業機會,還會僱用民族主義黑客。
此外,天府杯其他贊助商和組織,例如綠盟科技(NSFocus)、“Venus Tech”等,也都和黑客攻擊活動有關。“中國電子科技集團”(CETGC)旗下的子公司“海康威視”,負責提供維吾爾語分析和臉部辨識工具,也在2019年被美國列入貿易黑名單。
《福布斯》在2019年2月的報導稱,除了蘋果的iPhone外,安裝了谷歌安卓系統的手機和微軟視窗操作系統的電腦也在黑客信息蒐集的範圍之內。