Minden mobil OS megdőlt a Pwn2Own hackerversenyen
A tokiói PacSec biztonsági konferencián rendezett Pwn2Own versenyben korábban nem ismert sebezhetőségek segítségével sikerült távolról kódot futtatni Android operációs rendszert és Chrome böngészőt futtató Samsung Galaxy S4 és Google Nexus 4 mobilokon. A Windows RT-be épített Internet Explorer is megdőlt.
A héten Tokióban zajló PacSec biztonsági konferencián is volt Mobile Pwn2Own verseny, mobil eszközöket kellett kompromittálni és távolról kódot futtatni rajtuk. A megtalált sebezhetőségekért több tízezer dolláros pénzdíj járt, cserébe az információkat meg kell osztani a szoftverek fejlesztőivel, hogy minél hamarabb elkészülhessen a javítás.
A verseny az operációs rendszerek legfrissebb, általánosan elérhető verzióján zajlott. Az amerikai Computerworld beszámolója szerint kínai biztonsági szakértők sikeresen törték fel az iOS 6.0.4 és 7.0.3 verzióját is a Safari sebezhetőségén keresztül, és ugyan teljes rendszerszintű hozzáférést nem szereztek, de a készüléken tárolt személyes adatokhoz (képek, SMS-ek, névjegyek) és session cookie-khoz egyaránt hozzáfértek. Ezzel a támadással 27500 dollárt nyertek.
Brian Gorenc, HP on Mobile Pwn2Own 2013
Még több videóA szétszteroidozott diversity alkonya Évtizedekben mérhető folyamatokat nem lehet profitorientált cégek asszisztálásával pár év alatt lezavarni, DEI csomagolásban.
A Windows RT 8.1 is elbukott a versenyen, a HP két szakembere, Abdul Aziz Hariri és Matt Molinyawe egy Surface tabletet hajtott az uralma alá az Internet Explorer 11 sérülékenységének kihasználásával. A beszámoló szerint egy sebezhetőséget támadva sikerült egy memóriacím-szivárgást előidézni, majd távolról kódot futtatni, amivel a támadók teljes hozzáférést szereztek a rendszer felett. A sebezhetőséget jelentették a Microsoftnak.
Androidon két támadó is sikeresen próbálkozott. A Chrome sandbox védelmét megkerülni különösen nehéz, noha működő módszereket már számos esetben publikáltak. A Pinkie Pie becenéven futó hacker - aki már korábban sikeresen próbálkozott asztali Chrome ellen - egy Nexus 4-en sikerrel hajtotta végre támadását, amely egy speciálisan előkészített weboldalon alapult: amennyiben ezt az oldalt a készülék Chrome böngészőjéből valaki megnyitja, további felhasználói interakció nélkül lefut a támadó kód, amely teljes rendszerszintű hozzáférést biztosít a készülékhez és a rajta található adatokhoz. Pinkie Pie a támadást a Nexus 4 mellett egy Samsung Galaxy S4-en is bemutatta, amiért 50 ezer dollár ütötte a markát.
A Samsung Galaxy S4 ellen japán biztonsági szakértők is sikerre indultak a Pwn2Own versenyen, a Mitsui Bussan Secure Directions dolgozói a Samsung által előre telepített alkalmazások sebezhetőségeit kihasználva jutottak be az operációs rendszerbe és szereztek teljes hozzáférést. Ezért a műveletért 40 ezer dolláros díjat tehettek zsebre.