Hackeljünk okostelefont versenyszerűen
Az egyik legnevesebb, kifejezetten mobil készülékek feltörésére kiélezett hackerversenyen egyedül a Windows Phone maradt állva, de az is csak épphogy.Tavasszal a Pwn2Own hackerverseny résztvevői már megmutathatták, hogy mire képesek olyan népszerű alkalmazások hackelése során, mint amilyen például az Internet Explorer, az Apple Safari, a Firefox, az Adobe Flash Player vagy az Adobe Reader. Volt is csillaghullás, amiből a szoftverfejlesztők és a biztonsági cégek mellett a felhasználók is profitálhattak, hiszen számos olyan sebezhetőségre derült fény, amelyeket a fejlesztők mostanra már egytől egyig kijavítottak.
Jöhettek a mobilok
A Pwn2Own rendezvény őszi fordulója kifejezetten a mobilokra koncentrált. A Japánban megtartott versenyre azok jelentkezését várták, akik az alábbi készülékek biztonsági vizsgálatával foglalkoznak:
Amazon Fire Phone
Apple iPhone 5s
Apple iPad Mini
BlackBerry Z30
Google Nexus 5
Google Nexus 7
Nokia Lumia 1520
Samsung Galaxy S5.
A versenynek meglehetősen nagy volt a tétje, ugyanis a főszponzor, a HP ZDI idén megemelte a pénzjutalmakat. Tavaly összesen 125 ezer dollár állt rendelkezésre a versenyzők elismerésére, míg idén ez az összeg 425 ezer dollárra emelkedett. Az etikus hackerek pedig mindent megtettek azért, hogy a pénzt maradéktalanul bezsebeljék.
Forrás: ZDI
Csillaghullás az első napon
A Mobile Pwn2Own első napja az Apple iPhone 5S hackelésével kezdődött. Nem kellett sokat várni arra, hogy az egyik dél-koreai származású résztvevő térdre kényszerítse a mobilt. Ehhez két sebezhetőséget használt ki a Safari böngészőn keresztül. Nem jelentett számára gondot a sandbox védelem áttörése, majd a készülék feletti irányítás átvétele sem. Kis idő múlva a Samsung Galaxy S5 került a hackerek kezébe, de ez a készülék sem bírta sokáig. Több csapat is sikeresen hatolt át a beépített biztonsági eljárásokon: mindenki az NFC-ben rejlő lehetőségek, illetve sebezhetőségek révén tudott eredményeket elérni. Hasonló történt a Nexus készülékekkel is, amelyek esetében egy kutató azt demonstrálta, hogy miként lehet Bluetooth-on keresztül visszaéléseket elkövetni.
A nap végére egy Amazon Fire Phone hackelése maradt, ami szintén sikeresnek bizonyult. Az MWR InfoSecurity háromfős csapata három biztonsági résen és a készülék webböngészőjén keresztül érte el a célját.
Forrás: ZDI
A második nap nem a hackereké volt
A kétnapos hackerverseny második felében a Windows Phone kapta a főszerepet, igaz egy androidos hackelés is váratott még magára, amely azonban nem vezetett eredményre. Így mindenki a Windows Phone elleni támadásra figyelt. (A hírek szerint a BlackBerry telefonja ellen senki sem szállt harcba.)
A hackerversenyen a Lumia 1520-as készüléket az a Nico Joly vette a kezébe, aki tavasszal a VUPEN csapatának tagjaként már nyert egy notebookot. Most azonban új fába vágta a fejszéjét, hiszen a Microsoft mobil operációs rendszerét szemelte ki magának. A bemutatója első részében úgy tűnt, hogy semmi sem állíthatja meg, hiszen sikeresen hozzáfért egyebek mellett a mobilon lévő cookie-khoz. Aztán a további kísérletek már nem sikerültek, ugyanis nem volt képes áttörni a sandbox védelmen, így nem tudta teljes mértékben átvenni az irányítást az okostelefon felett. Márpedig ez szükséges lett volna a felajánlott díj odaítéléséhez.
A versenyzőknek a megmérettetés után minden technikai részletet át kellett adniuk a HP ZDI szakértőinek, akik már értesítették az érintett gyártókat a feltárt biztonsági résekről. Azt azonban egyelőre nem lehet tudni, hogy az egyes sérülékenységek megszüntetésére mikor kerül sor.
-
A Cisco IOS XE-hez több patch vált elérhetővé.
-
A Google ChromeOS két fontos biztonsági javítást kapott.
-
Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.
-
Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.
-
A cURL fejlesztői négy biztonsági hibáról számoltak be.
-
Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.
-
A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.
-
A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.
-
A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.
-
A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.