Szerző: Bodnár Ádám

2013. november 15. 10:38:00

Minden mobil OS megdőlt a Pwn2Own hackerversenyen

A tokiói PacSec biztonsági konferencián rendezett Pwn2Own versenyben korábban nem ismert sebezhetőségek segítségével sikerült távolról kódot futtatni Android operációs rendszert és Chrome böngészőt futtató Samsung Galaxy S4 és Google Nexus 4 mobilokon. A Windows RT-be épített Internet Explorer is megdőlt.

A héten Tokióban zajló PacSec biztonsági konferencián is volt Mobile Pwn2Own verseny, mobil eszközöket kellett kompromittálni és távolról kódot futtatni rajtuk. A megtalált sebezhetőségekért több tízezer dolláros pénzdíj járt, cserébe az információkat meg kell osztani a szoftverek fejlesztőivel, hogy minél hamarabb elkészülhessen a javítás.

A verseny az operációs rendszerek legfrissebb, általánosan elérhető verzióján zajlott. Az amerikai Computerworld beszámolója szerint kínai biztonsági szakértők sikeresen törték fel az iOS 6.0.4 és 7.0.3 verzióját is a Safari sebezhetőségén keresztül, és ugyan teljes rendszerszintű hozzáférést nem szereztek, de a készüléken tárolt személyes adatokhoz (képek, SMS-ek, névjegyek) és session cookie-khoz egyaránt hozzáfértek. Ezzel a támadással 27500 dollárt nyertek.

1:47
 

Brian Gorenc, HP on Mobile Pwn2Own 2013

Még több videó

Python everywhere! Gyere Pythonozni a HWSW rendezvényeire! Megmutatjuk, hogy a Python nem csak a fejlesztők nyelve, hiszen egyszerűsége miatt bárhol és bárki használhatja.

A Windows RT 8.1 is elbukott a versenyen, a HP két szakembere, Abdul Aziz Hariri és Matt Molinyawe egy Surface tabletet hajtott az uralma alá az Internet Explorer 11 sérülékenységének kihasználásával. A beszámoló szerint egy sebezhetőséget támadva sikerült egy memóriacím-szivárgást előidézni, majd távolról kódot futtatni, amivel a támadók teljes hozzáférést szereztek a rendszer felett. A sebezhetőséget jelentették a Microsoftnak.

Androidon két támadó is sikeresen próbálkozott. A Chrome sandbox védelmét megkerülni különösen nehéz, noha működő módszereket már számos esetben publikáltak. A Pinkie Pie becenéven futó hacker - aki már korábban sikeresen próbálkozott asztali Chrome ellen - egy Nexus 4-en sikerrel hajtotta végre támadását, amely egy speciálisan előkészített weboldalon alapult: amennyiben ezt az oldalt a készülék Chrome böngészőjéből valaki megnyitja, további felhasználói interakció nélkül lefut a támadó kód, amely teljes rendszerszintű hozzáférést biztosít a készülékhez és a rajta található adatokhoz. Pinkie Pie a támadást a Nexus 4 mellett egy Samsung Galaxy S4-en is bemutatta, amiért 50 ezer dollár ütötte a markát.

A Samsung Galaxy S4 ellen japán biztonsági szakértők is sikerre indultak a Pwn2Own versenyen, a Mitsui Bussan Secure Directions dolgozói a Samsung által előre telepített alkalmazások sebezhetőségeit kihasználva jutottak be az operációs rendszerbe és szereztek teljes hozzáférést. Ezért a műveletért 40 ezer dolláros díjat tehettek zsebre.

a címlapról

Hirdetés

Python everywhere!

2020. február 21. 05:30

Gyere Pythonozni a HWSW rendezvényeire! Megmutatjuk, hogy a Python nem csak a fejlesztők nyelve, hiszen egyszerűsége miatt előszeretettel használják az üzemeltetők és DevOps szakemberek, tesztelők, illetve az adattudósok is, és elfut szinte bárhol, a mikrovezérlőktől egészen a böngészőkig.