Hackeljünk okostelefont versenyszerűen

Az egyik legnevesebb, kifejezetten mobil készülékek feltörésére kiélezett hackerversenyen egyedül a Windows Phone maradt állva, de az is csak épphogy.
 

Tavasszal a Pwn2Own hackerverseny résztvevői már megmutathatták, hogy mire képesek olyan népszerű alkalmazások hackelése során, mint amilyen például az Internet Explorer, az Apple Safari, a Firefox, az Adobe Flash Player vagy az Adobe Reader. Volt is csillaghullás, amiből a szoftverfejlesztők és a biztonsági cégek mellett a felhasználók is profitálhattak, hiszen számos olyan sebezhetőségre derült fény, amelyeket a fejlesztők mostanra már egytől egyig kijavítottak.
 
Jöhettek a mobilok

A Pwn2Own rendezvény őszi fordulója kifejezetten a mobilokra koncentrált. A Japánban megtartott versenyre azok jelentkezését várták, akik az alábbi készülékek biztonsági vizsgálatával foglalkoznak:
Amazon Fire Phone
Apple iPhone 5s
Apple iPad Mini
BlackBerry Z30
Google Nexus 5
Google Nexus 7
Nokia Lumia 1520
Samsung Galaxy S5.
 
A versenynek meglehetősen nagy volt a tétje, ugyanis a főszponzor, a HP ZDI idén megemelte a pénzjutalmakat. Tavaly összesen 125 ezer dollár állt rendelkezésre a versenyzők elismerésére, míg idén ez az összeg 425 ezer dollárra emelkedett. Az etikus hackerek pedig mindent megtettek azért, hogy a pénzt maradéktalanul bezsebeljék.


Forrás: ZDI
 
Csillaghullás az első napon

A Mobile Pwn2Own első napja az Apple iPhone 5S hackelésével kezdődött. Nem kellett sokat várni arra, hogy az egyik dél-koreai származású résztvevő térdre kényszerítse a mobilt. Ehhez két sebezhetőséget használt ki a Safari böngészőn keresztül. Nem jelentett számára gondot a sandbox védelem áttörése, majd a készülék feletti irányítás átvétele sem. Kis idő múlva a Samsung Galaxy S5 került a hackerek kezébe, de ez a készülék sem bírta sokáig. Több csapat is sikeresen hatolt át a beépített biztonsági eljárásokon: mindenki az NFC-ben rejlő lehetőségek, illetve sebezhetőségek révén tudott eredményeket elérni. Hasonló történt a Nexus készülékekkel is, amelyek esetében egy kutató azt demonstrálta, hogy miként lehet Bluetooth-on keresztül visszaéléseket elkövetni.
 
A nap végére egy Amazon Fire Phone hackelése maradt, ami szintén sikeresnek bizonyult. Az MWR InfoSecurity háromfős csapata három biztonsági résen és a készülék webböngészőjén keresztül érte el a célját.


Forrás: ZDI
 
A második nap nem a hackereké volt

A kétnapos hackerverseny második felében a Windows Phone kapta a főszerepet, igaz egy androidos hackelés is váratott még magára, amely azonban nem vezetett eredményre. Így mindenki a Windows Phone elleni támadásra figyelt. (A hírek szerint a BlackBerry telefonja ellen senki sem szállt harcba.)
 
A hackerversenyen a Lumia 1520-as készüléket az a Nico Joly vette a kezébe, aki tavasszal a VUPEN csapatának tagjaként már nyert egy notebookot. Most azonban új fába vágta a fejszéjét, hiszen a Microsoft mobil operációs rendszerét szemelte ki magának. A bemutatója első részében úgy tűnt, hogy semmi sem állíthatja meg, hiszen sikeresen hozzáfért egyebek mellett a mobilon lévő cookie-khoz. Aztán a további kísérletek már nem sikerültek, ugyanis nem volt képes áttörni a sandbox védelmen, így nem tudta teljes mértékben átvenni az irányítást az okostelefon felett. Márpedig ez szükséges lett volna a felajánlott díj odaítéléséhez.
 
A versenyzőknek a megmérettetés után minden technikai részletet át kellett adniuk a HP ZDI szakértőinek, akik már értesítették az érintett gyártókat a feltárt biztonsági résekről. Azt azonban egyelőre nem lehet tudni, hogy az egyes sérülékenységek megszüntetésére mikor kerül sor.
 
  1. 3

    A Cisco IOS XE-hez több patch vált elérhetővé.

  2. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  3. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  4. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  5. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  6. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  7. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  8. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  9. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  10. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség