Elvéreztek az okostelefonok

Az idei Mobile Pwn2Own hackerversenyen csaknem félmillió dollár jutalmat vittek haza a versenyzők. Csak egy okostelefon maradt talpon.
 

A Trend Micro a ZDI (Zero Day Initiative) csapatának bevonásával idén ismét megszervezte a mobil készülékek hackelését középpontba helyező versenyét. A Tokióban megrendezett Mobile Pwn2Own két napon keresztül izgalmas megmérettetésekkel várta az érdeklődőket. A versenyzők az alábbi okostelefonokat vethették be a küzdelem során:
Apple iPhone 7
Google Pixel
Huawei Mate 9 Pro
Samsung Galaxy S8
 
A verseny két nagyon fontos szabály mentén zajlott. Egyrészt a résztvevőknek vállalniuk kellett, hogy a ZDI-nek átadják az általuk kihasznált biztonsági rések technikai részleteit, és azokat nem hozzák nyilvánosságra. Másrészt pedig csak olyan készülékeket próbálhattak feltörni, amelyeken a legfrissebb, minden hibajavítást tartalmazó operációs rendszerek, illetve szoftverek futottak. Ezt a szervezők oly annyira komolyan vették, hogy a verseny előtti estén még lefrissítették az összes "benevezett" okostelefont. Mint kiderült, ez nem igazán szegte kedvét a versenyzőknek, akik sorban véreztették ki a mobilokat.
 
Az első napon a legsikeresebb a Tencent Keen Security Lab csapata lett. A csapattagok először az Apple iPhone 7 (iOS 11.1) törését hajtották végre sikeresen, amiért 110 ezer dollár jutalom járt. Négy sérülékenység kihasználásával elérték, hogy WiFi-n keresztül tudtak tetszőleges kódot futtatni, méghozzá emelt jogosultsági szinten. Ráadásul arról is gondoskodtak, hogy a készülék újraindítása után is fenn tudják tartani a jelenlétüket. Pluszban pedig még egy Safari törést is prezentáltak, amiért még 45 ezer dollár ütötte a markukat. A csapattagok kedve ezt követően sem lankadt, hiszen következett a Mate 9 Pro. Először egy NFC-s töréssel próbálkoztak, de az nem sikerült. Ellenben egy másik hackeléssel térdre tudták kényszeríteni a készülék védelmi vonalait, amivel újabb 100 ezer dollárt kasszíroztak. Viszont a Samsung Galaxy S8-cal már nem bírtak. Ennek az okostelefonnak a törésével a Qihoo360 kínai biztonsági cég egyik kutatója bíbelődött, nem is sikertelenül. A Samsung Internet Browser és néhány egyéb Samsung app bevonásával hajtott végre sikeres hackelést, és végül 70 ezer dollárral a zsebében tért haza.
 
A második napon tovább folytatódott a küzdelem. Először a Mate 9 Pro készüléken futó Google Chrome esett el, majd ismét bukdácsolt az S8-on lévő Internet Browser. Ezek a törések 25-25 ezer dollárt értek az MWR Labs csapata számára. Aztán következett egy 20 ezer dolláros támadás az Apple iPhone ellen, szintén WiFi-n keresztül. Ez a hackelés azért nem kapott nagyobb anyagi elismerést, mert a Qihoo360 kutatója által kihasznált három biztonsági rés közül egy már korábbról ismert volt.
 
Végül pedig Amat Cama kutató még egyet odapörkölt az S8-nak, és egy puffertúlcsordulási hiba előidézésével futtatott azon kódot, amiért 50 ezer dolláros elismerésben részesült.
 
A 2017-es megmérettetésen egyedül a Google Pixel maradt talpon. Ennek pedig minden bizonnyal nem az az oka, hogy nem lenne hackelhető a készülék, hanem sokkal inkább az, hogy egyik versenyző sem nevezett olyan bemutatóval, amelyet a Google új készülékén prezentált volna. Vélhetőleg jövőre már nagyobb érdeklődés fogja övezni ezt a mobilt is.
 
Az idei mobil Pwn2Own versenyről összesen 495 ezer dollárral távoztak a részvevők. A ZDI pedig eljuttatta az érintett gyártókhoz a biztonsági rések technikai leírásait, és 90 napot adott azok kijavítására.