Frissítsen, ahogy lehet: súlyos sebezhetőségek az Apple, a Samsung és a Huawei telefonjain

A múlt héten került sor Tokióban a Pwn2Own rendezvényre (versenyre), és a 32 komoly sebezhetőséget felfedő biztonsági kutatók 515 ezer dollárral lettek gazdagabbak.

A Qihoo 360 Security például egy olyan sebezhetőséget mutatott be, amelyet kihasználva, a wifi segítségével tudnak a hackerek végrehajtható kódot lefuttatni az iPhone 7-eken. A Safarit is meg tudták hackelni a böngészőben és a rendszerszolgáltatásban lévő hibák kihasználásával. A csapat a Galaxy S8-ban is talált sebezhetőséget, a Samsung netes böngészőjét használta fel a kódfuttatáshoz.

A Tencent Keen Security Lab is a wifit használta ki, hogy rosszindulatú programot telepítsen az iPhone 7-re. Ugyanez a csapat mutatta be a legsúlyosabb sebezhetőséget is. A kutatók a Huawei Mate 9 Pro szélessávú processzorán hajtottak végre futtaható kódot, és képesek voltak módosítani az eszköz IMEI számát. A Fluorescence az iPhone 7 Safari böngészőjének hibáját kihasználva tudta kikerülni a böngésző sandboxát, és végrehajtható kódot futtatott a telefonon.

ZDI

Az MWR Labs a Samsung Galaxy S8-ban fedezett fel egy sor sebezhetőséget. 11 biztonsági rést használtak ki, és kódokat tudtak végrehajtani, illetve adatokat tudtak megszerezni a telefonról. Hibákat találtak különféle Huawei alkalmazásokban is, ki tudták kerülni a Chrome-böngésző sandboxát, és adatokat tudtak eltávolítani a Mate 9 Próról.

A ZDI éves versenyén nemcsak a készülékek bugjaira derülhet fény, hanem jó lehetőség is adódik a sebezhetőségek befoltozására. A hibákat bemutatják a gyártóknak, akik itt közvetlenül kérdezhetik a kutatókat. A ZDI ezután 90 napot ad a probléma javítására. Ha ez nem történik meg, és a gyártó nem tud elfogadható magyarázatot adni arra, hogy miért nem javította a sérülékenységet, akkor a ZDI további részleteket ad ki a hibákról.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.