Na tradičnej hackerskej súťaži Mobile Pwn2Own zameranej na hackovanie smartfónov sa expertom podarilo získať citlivé dáta z iPhonu 6S po tom, ako užívateľ len navštívil podvrhutú stránku.
V záverečnej správe o výsledkoch súťaže o tom informoval organizátor, spoločnosť Trend Micro.
Ako sme informovali v stredu, v aktuálnom ročníku mohli súťažiaci hackovať zariadenia dvoch dominujúcich mobilných platforiem, plne aktualizovaných Apple iPhone 6S s iOS a Google Nexus 6P a Samsung Galaxy S7 s Androidom.
Získať odmenu bolo možné za dosiahnutie jedného z troch cieľov, odomknúť zamknuté zariadenie a dostať sa k dátam na ňom, nainštalovať bez explicitnej súčinnosti užívateľa škodlivú aplikáciu alebo získať citlivé informácie z telefónu. Posledné dva ciele bolo možné dosiahnuť po tom, ako si užívateľ otvorí útočníkom podvrhnutú webovú stránku v predinštalovanom prehliadači alebo SMS / MMS zaslanú útočníkom.
Za úspešné odomknutie zariadenia bola odmena 250 tisíc dolárov, za nainštalovanie aplikácie 125 tisíc v prípade iPhonu, 100 tisíc v prípade Nexusu a 60 tisíc v prípade Galaxy S7 a za získanie citlivých informácií od 35 do 50 tisíc.
Reportáž zo súťaže Mobile Pwn2Own (video: Trend Micro)
Podmienkou výhry bolo použitie nových doteraz neznámych zraniteľností a ich poskytnutie organizátorom, ktorí ich následne poskytnú výrobcom.
Súťaž konaná v Tokiu popri bezpečnostnej konferencii PacSec mala trvať dva dni, včera a dnes. Prihlásili sa do nej podľa oznámenia ale len dva tímy, ktoré nakoniec spolu demonštrovali štyri útoky a súťaž skončila už včera. Či je nízky počet súťažiacich daný vysokými odmenami v súčasnosti trvalo ponúkanými inými spoločnosťami respektíve aké faktory ho spôsobili nie je jasné.
Prvé tri útoky, o ktorých sme informovali včera, sa snažili inštalovať dvakrát na Nexus 6P a raz na iPhone 6S škodlivú aplikáciu. Tímu Tencent Keen Security Lab sa to podarilo v prípade oboch smartfónov, v prípade iPhonu 6S ale infekcia nebola trvalá a po reboote aplikácia nezostala nainštalovaná.
Ten istý tím nakoniec dokázal z telefónu získať aj priamo citlivé dáta po návšteve podvrhnutej stránky. Podľa oznámenia organizátora k tomu využil kombináciu zraniteľnosti typu použitia objektu po uvoľnení v rendereri zrejme prehliadača Safari a chyby typu poškodenia pamäťových štruktúr v sandboxe.
V prípade inštalácie aplikácie na Nexuse tím podľa organizátorov využil tiež dve nové chyby plus niektoré slabiny OS.
Spolu čínsky tím získal výhry vo výške 215 tisíc dolárov.
Aj/U/fon
Od reg.: Jaa 1
|
Pridané:
27.10.2016 10:18
Hekol uz niekto niekomu realne mobil? Naco su komu moje, maniakove, sintaxove... trebars fotky? Naco by boli mne fotky trebars mojej susedky? Pritom ich urcite laduje na socku sama. Jedine realne heknutie ake fakt poznam je ked draha smiruje drahemu smsky ci mejly ked drahy/ha serie na hajzly alebo chrape po nocnej.
Ze naco? Ked obraz mony lizy pritiahne do pariza mrte turistov, vystava takych fotiek musi aspon dve, ked uz nie minimalne viac ako tri, mrte. Na opacnom konci zemegule by museli vystavovat fotky Janky, aby sa neprekotila.
sranda ako je tu ticho, tipujem, ze ak by ten clanok mal namiesto iphonu napisane android, tak by tu bola vasniva diskusia ako je ten lagdroid nezabezpecny, mizerny, lagujuci system :D namiesto toho tu rozoberate nove jednotky SI
neprihlásený 
