Elvéreztek az okostelefonok

Az idei Mobile Pwn2Own hackerversenyen csaknem félmillió dollár jutalmat vittek haza a versenyzők. Csak egy okostelefon maradt talpon.
 

A Trend Micro a ZDI (Zero Day Initiative) csapatának bevonásával idén ismét megszervezte a mobil készülékek hackelését középpontba helyező versenyét. A Tokióban megrendezett Mobile Pwn2Own két napon keresztül izgalmas megmérettetésekkel várta az érdeklődőket. A versenyzők az alábbi okostelefonokat vethették be a küzdelem során:
Apple iPhone 7
Google Pixel
Huawei Mate 9 Pro
Samsung Galaxy S8
 
A verseny két nagyon fontos szabály mentén zajlott. Egyrészt a résztvevőknek vállalniuk kellett, hogy a ZDI-nek átadják az általuk kihasznált biztonsági rések technikai részleteit, és azokat nem hozzák nyilvánosságra. Másrészt pedig csak olyan készülékeket próbálhattak feltörni, amelyeken a legfrissebb, minden hibajavítást tartalmazó operációs rendszerek, illetve szoftverek futottak. Ezt a szervezők oly annyira komolyan vették, hogy a verseny előtti estén még lefrissítették az összes "benevezett" okostelefont. Mint kiderült, ez nem igazán szegte kedvét a versenyzőknek, akik sorban véreztették ki a mobilokat.
 
Az első napon a legsikeresebb a Tencent Keen Security Lab csapata lett. A csapattagok először az Apple iPhone 7 (iOS 11.1) törését hajtották végre sikeresen, amiért 110 ezer dollár jutalom járt. Négy sérülékenység kihasználásával elérték, hogy WiFi-n keresztül tudtak tetszőleges kódot futtatni, méghozzá emelt jogosultsági szinten. Ráadásul arról is gondoskodtak, hogy a készülék újraindítása után is fenn tudják tartani a jelenlétüket. Pluszban pedig még egy Safari törést is prezentáltak, amiért még 45 ezer dollár ütötte a markukat. A csapattagok kedve ezt követően sem lankadt, hiszen következett a Mate 9 Pro. Először egy NFC-s töréssel próbálkoztak, de az nem sikerült. Ellenben egy másik hackeléssel térdre tudták kényszeríteni a készülék védelmi vonalait, amivel újabb 100 ezer dollárt kasszíroztak. Viszont a Samsung Galaxy S8-cal már nem bírtak. Ennek az okostelefonnak a törésével a Qihoo360 kínai biztonsági cég egyik kutatója bíbelődött, nem is sikertelenül. A Samsung Internet Browser és néhány egyéb Samsung app bevonásával hajtott végre sikeres hackelést, és végül 70 ezer dollárral a zsebében tért haza.
 
A második napon tovább folytatódott a küzdelem. Először a Mate 9 Pro készüléken futó Google Chrome esett el, majd ismét bukdácsolt az S8-on lévő Internet Browser. Ezek a törések 25-25 ezer dollárt értek az MWR Labs csapata számára. Aztán következett egy 20 ezer dolláros támadás az Apple iPhone ellen, szintén WiFi-n keresztül. Ez a hackelés azért nem kapott nagyobb anyagi elismerést, mert a Qihoo360 kutatója által kihasznált három biztonsági rés közül egy már korábbról ismert volt.
 
Végül pedig Amat Cama kutató még egyet odapörkölt az S8-nak, és egy puffertúlcsordulási hiba előidézésével futtatott azon kódot, amiért 50 ezer dolláros elismerésben részesült.
 
A 2017-es megmérettetésen egyedül a Google Pixel maradt talpon. Ennek pedig minden bizonnyal nem az az oka, hogy nem lenne hackelhető a készülék, hanem sokkal inkább az, hogy egyik versenyző sem nevezett olyan bemutatóval, amelyet a Google új készülékén prezentált volna. Vélhetőleg jövőre már nagyobb érdeklődés fogja övezni ezt a mobilt is.
 
Az idei mobil Pwn2Own versenyről összesen 495 ezer dollárral távoztak a részvevők. A ZDI pedig eljuttatta az érintett gyártókhoz a biztonsági rések technikai leírásait, és 90 napot adott azok kijavítására. 
Vélemények
 
  1. 4

    A Drupal fejlesztői két veszélyes biztonsági rést foltoztak be.

  2. 3

    A WinSCP-hez egy biztonsági frissítés vált letölthetővé.

  3. 1

    A Windtail trójai a Mac-gépekre jelent veszélyt, mivel azokon egy hátsó kaput létesít, ami további károkozásokhoz járulhat hozzá.

 
Partnerhírek
Office 365 pár száz forintért?

Ugyan jól hangzik, hogy egy életre szóló előfizetést kaphatunk a Microsoft népszerű irodai programcsomagjához csupán háromszáz forintért, de átverésről van szó, amelynek végén akár személyes adataink is veszélybe kerülhetnek.

​Amikor a rendőrséget támadja a zsarolóvírus

Amikor bűnözők áldozatává válunk, olyankor a rendőrséghez fordulunk segítségért. De kihez fordul a rendőrség, amikor mondjuk egy zsarolóvírus bénítja meg a rendszereit?

hirdetés
Közösség
1