szerző:
hvg.hu

Idén is megrendezték a fehérkalapos hackerek versenyét, és újra csak kiderült, még a legdrágább okostelefonok gazdái sem érezhetik teljes biztonságban a készüléküket.

A legnagyobb hackerek vs. a legnevesebb márkák: Tokióban rendezték a napokban a szokásos, éves mobilfeltörési versenyt, a Pwn2Own 2018-at, a Trend Micro nevével fémjelezett ZDI (Zero Day Initative) szervezésében, több mint 500 ezer dollár jutalmazással. Ismét bebizonyosodott, hogy még a legdrágább és a legaktuálisabb operációsrendszer-verziót futtató telefonokon is lehet gyenge pontokat találni.

Három csúcstelefont (Apple iPhone X, Samsung Galaxy S9, Xiaomi Mi6) nyúzhattak a világ minden tájáról érkezett fehérkalapos hackerek, végül összesen 18 nulladik napi sebezhetőséget találtak, sőt nem egy esetben át tudták venni a teljes irányítást a készülék felett – írja a The Hacker News.

©

A legsikeresebb kétfős csapat (Fluoroacetate) például az iOS 12.1-et futtató iPhone X-ről tudott megszerezni egy korábban már törölt képet – ez 50 ezer dollárt hozott a számukra. A Samsung Galaxy S9-ben is találtak egy memória-túlcsordulási sebezhetőséget, amellyel kódfuttatási lehetőséghez jutottak – ezért újabb 50 ezer dollár ütötte a markukat.

De nem álltak itt meg, és a Xiaomi Mi6-ot is össztűz alá vették. Sikeresen kihasználták a készülék egy sebezhetőséget NFC-n keresztül: arra kényszerítették a telefont, hogy nyissa meg a webböngészőt, és egy speciálisan kialakított weboldalra navigáljon. Ez a hack 30 ezer dollárt ért, és még mindig volt muníció a Fluoroacetate tarsolyában. A második napon sikerült kihasználniuk egy túlcsordulást okozó sérülékenységet a Xiaomi-készülék webböngészőjének JavaScript motorjában, s ezzel képeket tudtak lopni az eszközről. Ezért 25 ezer dollárt kaptak, és összességében is a verseny legeredményesebb csapata lettek.

Egy másik igen sikeres csoport (MWR Labs) három sebezhetőséget fedezett fel a Galaxy S9-ben, amelyekkel például rosszindulatú appokat tudtak telepíteni a telefonra. 30 ezer dollár volt a jutalmuk. A Xiaomi Mi6-tal is próbálkoztak, és öt különböző hiba ötvözésével alkalmazásokat tudtak telepíteni az eszközre, megkerülve az engedélyezési listát, ráadásul automatikusan tudták indítani az appokat. Ez a trükk 30 ezer dollárt hozott a konyhára. A verseny második napján tovább nyúzták a telefont, és nekik is sikerült fotókat kinyerni a készülékből.

A labda most a gyártók térfelén pattog, a feltárt sebezhetőségek, biztonsági rések ugyanis mindaddig nyitva maradnak, amíg azokat be nem foltozzák.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.

Érdekesnek találta cikkünket?
Legyen HVG pártoló tag!

A HVG Pártoló Tagság programja az első olyan kezdeményezés, aminek keretében az olvasóink közelebb kerülhetnek szerkesztőségünkhöz és támogatásukkal segíthetik, hogy újságírói munkánkat továbbra is az eddig megszokott magas színvonalon végezhessük. Tagjainknak heti exkluzív hírlevelet küldünk, rendezvényeket kínálunk, a könyveinkre és egyéb termékeinkre pedig komoly kedvezményt adunk. Támogatóként már heti egy kávé árával is hozzájárulhat a minőségi újságíráshoz! „Amikor annyira eluralkodik a mindennapi életünkön a virtualitás, üdítő igazi emberi kapcsolatokat építeni.”
K. Erna – Pártoló tag


„Régóta olvasom a HVG-t és cikkei között mindennap találok érdekfeszítőt!”
H. Szabolcs - Támogató
Csatlakozzon programunkhoz, támogassa munkánkat egyszeri hozzájárulással vagy fizessen elő a hetilapra!
A HVG Pártoló Tagság programja az első olyan kezdeményezés, aminek keretében az olvasóink közelebb kerülhetnek szerkesztőségünkhöz, és támogatásukkal segíthetik, hogy újságírói munkánkat továbbra is az eddig megszokott magas színvonalon végezhessük. Támogatóként már heti egy kávé árával is hozzájárulhat a minőségi újságíráshoz! Csatlakozzon programunkhoz, támogassa munkánkat egyszeri hozzájárulással vagy fizessen elő a hetilapra!
Amikor a hatalom inkább nyelt, mint tiltott: a Csirkefej legendái

Amikor a hatalom inkább nyelt, mint tiltott: a Csirkefej legendái

Bambival büntetik az elítélt orvvadászt

Bambival büntetik az elítélt orvvadászt

Videón, ahogy kidobják az MTVA-ból Szélt és Hadházyt

Videón, ahogy kidobják az MTVA-ból Szélt és Hadházyt

Borult, ködös nap vár ránk

Borult, ködös nap vár ránk

"Értékünk a sokszínűség" - A HVG adventi kalendáriumában ma: Daczi Dóra

"Értékünk a sokszínűség" - A HVG adventi kalendáriumában ma: Daczi Dóra

Ez most csak úgy eszünkbe jutott az éjjel történtekről

Ez most csak úgy eszünkbe jutott az éjjel történtekről