Hackerverseny: amikor semmi nem marad talpon

Számos érdekességgel szolgált a Tokióban megrendezett Pwn2Own hackerverseny. Sorban hullottak el az okostelefonok, okostévék, hálózati eszközök.
 

A Trend Micro Zero Day Initiative (ZDI) szervezésében megrendezett Pwn2Own hackerverseny mindig nagy érdeklődésre tart számot. A mostani megmérettetés elsősorban az okostelefonok, okostévék körül forgott, de szerephez jutottak hálózati eszközök is. A verseny célja, hogy minél több biztonsági problémára világítsanak rá a résztvevők, amelyeket aztán a ZDI megoszt a fejlesztőkkel, hogy minél hamarabb megoldás születhessen a sérülékenységekre. Eközben a résztvevők értékes jutalmakban részesülhetnek.

A kétnapos rendezvény első napján 10 támadást mutattak be a versenyzők, amelyek közül hét bizonyult sikeresnek és díjazhatónak. A Fluoroacetate nevű csapat két fehérkalapos hackere először egy Sony X800G TV-t kényszerített térde, miután egy JavaScript-kezelési hibát sikerült kihasználniuk az okostévé böngészőjében, és parancssoros felülethez jutottak. Ehhez nem kellett mást tenniük, mint a TV segítségével letölteni egy általuk speciálisan összeállított weboldalt. Ezt követően egy Xiaomi Mi9 okostelefonról sikerült egy képet kiszivárogtatniuk szintén egy weblapon keresztül. Végül pedig egy Samsung Galaxy S10-ről kaparintottak meg egy fényképet NFC-vel, bizonyítván az általuk feltárt, adatlopásra lehetőséget adó hiba létezését.

Az első napon a Flashback nevű csapat sikeresen meghackelt egy NETGEAR Nighthawk Smart WiFi routert LAN/WAN portokon keresztül, majd manipulálta az eszköz firmware-jét. Aztán a versenyzők egy TP-Link AC1750 Smart WiFi routert vettek a kezük közé, amelyeket az egyik LAN-porton keresztül támadtak sikeresen. 


A második felvonás

A második napon tovább folytatódott a tűzijáték. Hét sikeres támadást prezentáltak a résztvevők. A Fluoroacetate ismét hallatott magáról, és ezúttal egy hamis bázisállomáson keresztül sikerült egy fájlt mindenféle jogosultság nélkül feltölteniük egy Samsung S10-re. Eközben a TP-Link AC1750 router egy újabb Flashback támadás áldozatává vált, de ugyanezt a hálózati eszközt egy másik módszerrel az F-Secure csapata is sikeresen meghackelte. A F-Secure kutatói a Xiaomi Mi9 ellen még egyszer akcióztak, és egy NFC-sérülékenység kihasználásával adatokat szivárogtattak ki arról. 

Összegzés

A tokiói Pwn2Own szervezői összesen 315 dollár jutalmat osztottak ki 18 különböző - eddig ismeretlen - sebezhetőség felfedezéséért. A ZDI már eljuttatta a biztonsági rések leírását az érintett cégek számára, akiknek 90 napjuk van a frissítések elkészítésére, mielőtt nyilvánosságra kerülnek a sérülékenységek technikai részletei. 
Vélemények
 
  1. 4

    A Citrix elérhetővé tette az Application Delivery Controller, illetve a Citrix Gateway legújabb hibajavítását.

  2. 1

    Az Anchor.A trójai elsősorban azzal tud problémákat okozni, hogy egyéb károkozókat juttat fel a számítógépekre.

  3. 4

    A Symantec négy biztonsági résről számolt be egyes hálózatbiztonsági termékeinek kapcsán.

 
Partnerhírek
iPhone és adathalászat

A most bemutatott eset úgy kezdődött, hogy egy felhasználó kapott egy sms-t, amely értesítette arról, hogy elveszített iPhone X készüléke milyen címen található. Az üzenetben egy link is volt, amelyre kattintva elvileg meg lehetett tekinteni a készülék helyét – a gyakorlatban viszont egy adathalász oldalhoz tartozott, amely ellopta a látogatók iCloud azonosítóit.

A kkv-ken keresztül támadják a nagyvállalatokat a kiberbűnözők

A kis- és középvállalatok jelentik a legnagyobb rizikót az IT biztonság terén, így nem meglepő, hogy a számítógépes bűnözők is egyre inkább őket támadják, nem utolsósorban azért, hogy rajtuk keresztül eljussanak a nagyobb vállalatokig.

hirdetés
Közösség
1