Minden mobil OS megdőlt a Pwn2Own hackerversenyen
A tokiói PacSec biztonsági konferencián rendezett Pwn2Own versenyben korábban nem ismert sebezhetőségek segítségével sikerült távolról kódot futtatni Android operációs rendszert és Chrome böngészőt futtató Samsung Galaxy S4 és Google Nexus 4 mobilokon. A Windows RT-be épített Internet Explorer is megdőlt.
A héten Tokióban zajló PacSec biztonsági konferencián is volt Mobile Pwn2Own verseny, mobil eszközöket kellett kompromittálni és távolról kódot futtatni rajtuk. A megtalált sebezhetőségekért több tízezer dolláros pénzdíj járt, cserébe az információkat meg kell osztani a szoftverek fejlesztőivel, hogy minél hamarabb elkészülhessen a javítás.
A verseny az operációs rendszerek legfrissebb, általánosan elérhető verzióján zajlott. Az amerikai Computerworld beszámolója szerint kínai biztonsági szakértők sikeresen törték fel az iOS 6.0.4 és 7.0.3 verzióját is a Safari sebezhetőségén keresztül, és ugyan teljes rendszerszintű hozzáférést nem szereztek, de a készüléken tárolt személyes adatokhoz (képek, SMS-ek, névjegyek) és session cookie-khoz egyaránt hozzáfértek. Ezzel a támadással 27500 dollárt nyertek.
Brian Gorenc, HP on Mobile Pwn2Own 2013
Még több videóCI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
A Windows RT 8.1 is elbukott a versenyen, a HP két szakembere, Abdul Aziz Hariri és Matt Molinyawe egy Surface tabletet hajtott az uralma alá az Internet Explorer 11 sérülékenységének kihasználásával. A beszámoló szerint egy sebezhetőséget támadva sikerült egy memóriacím-szivárgást előidézni, majd távolról kódot futtatni, amivel a támadók teljes hozzáférést szereztek a rendszer felett. A sebezhetőséget jelentették a Microsoftnak.
Androidon két támadó is sikeresen próbálkozott. A Chrome sandbox védelmét megkerülni különösen nehéz, noha működő módszereket már számos esetben publikáltak. A Pinkie Pie becenéven futó hacker - aki már korábban sikeresen próbálkozott asztali Chrome ellen - egy Nexus 4-en sikerrel hajtotta végre támadását, amely egy speciálisan előkészített weboldalon alapult: amennyiben ezt az oldalt a készülék Chrome böngészőjéből valaki megnyitja, további felhasználói interakció nélkül lefut a támadó kód, amely teljes rendszerszintű hozzáférést biztosít a készülékhez és a rajta található adatokhoz. Pinkie Pie a támadást a Nexus 4 mellett egy Samsung Galaxy S4-en is bemutatta, amiért 50 ezer dollár ütötte a markát.
A Samsung Galaxy S4 ellen japán biztonsági szakértők is sikerre indultak a Pwn2Own versenyen, a Mitsui Bussan Secure Directions dolgozói a Samsung által előre telepített alkalmazások sebezhetőségeit kihasználva jutottak be az operációs rendszerbe és szereztek teljes hozzáférést. Ezért a műveletért 40 ezer dolláros díjat tehettek zsebre.