Mellékleteink: HUP | Gamekapocs
Keres

Minden mobil OS megdőlt a Pwn2Own hackerversenyen

Bodnár Ádám, 2013. november 15. 10:38
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

A tokiói PacSec biztonsági konferencián rendezett Pwn2Own versenyben korábban nem ismert sebezhetőségek segítségével sikerült távolról kódot futtatni Android operációs rendszert és Chrome böngészőt futtató Samsung Galaxy S4 és Google Nexus 4 mobilokon. A Windows RT-be épített Internet Explorer is megdőlt.

A héten Tokióban zajló PacSec biztonsági konferencián is volt Mobile Pwn2Own verseny, mobil eszközöket kellett kompromittálni és távolról kódot futtatni rajtuk. A megtalált sebezhetőségekért több tízezer dolláros pénzdíj járt, cserébe az információkat meg kell osztani a szoftverek fejlesztőivel, hogy minél hamarabb elkészülhessen a javítás.

A verseny az operációs rendszerek legfrissebb, általánosan elérhető verzióján zajlott. Az amerikai Computerworld beszámolója szerint kínai biztonsági szakértők sikeresen törték fel az iOS 6.0.4 és 7.0.3 verzióját is a Safari sebezhetőségén keresztül, és ugyan teljes rendszerszintű hozzáférést nem szereztek, de a készüléken tárolt személyes adatokhoz (képek, SMS-ek, névjegyek) és session cookie-khoz egyaránt hozzáfértek. Ezzel a támadással 27500 dollárt nyertek.

A Windows RT 8.1 is elbukott a versenyen, a HP két szakembere, Abdul Aziz Hariri és Matt Molinyawe egy Surface tabletet hajtott az uralma alá az Internet Explorer 11 sérülékenységének kihasználásával. A beszámoló szerint egy sebezhetőséget támadva sikerült egy memóriacím-szivárgást előidézni, majd távolról kódot futtatni, amivel a támadók teljes hozzáférést szereztek a rendszer felett. A sebezhetőséget jelentették a Microsoftnak.

Androidon két támadó is sikeresen próbálkozott. A Chrome sandbox védelmét megkerülni különösen nehéz, noha működő módszereket már számos esetben publikáltak. A Pinkie Pie becenéven futó hacker - aki már korábban sikeresen próbálkozott asztali Chrome ellen - egy Nexus 4-en sikerrel hajtotta végre támadását, amely egy speciálisan előkészített weboldalon alapult: amennyiben ezt az oldalt a készülék Chrome böngészőjéből valaki megnyitja, további felhasználói interakció nélkül lefut a támadó kód, amely teljes rendszerszintű hozzáférést biztosít a készülékhez és a rajta található adatokhoz. Pinkie Pie a támadást a Nexus 4 mellett egy Samsung Galaxy S4-en is bemutatta, amiért 50 ezer dollár ütötte a markát.

A Samsung Galaxy S4 ellen japán biztonsági szakértők is sikerre indultak a Pwn2Own versenyen, a Mitsui Bussan Secure Directions dolgozói a Samsung által előre telepített alkalmazások sebezhetőségeit kihasználva jutottak be az operációs rendszerbe és szereztek teljes hozzáférést. Ezért a műveletért 40 ezer dolláros díjat tehettek zsebre.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.