szerző:
hvg.hu

Idén is megrendezték a fehérkalapos hackerek versenyét, és újra csak kiderült, még a legdrágább okostelefonok gazdái sem érezhetik teljes biztonságban a készüléküket.

A legnagyobb hackerek vs. a legnevesebb márkák: Tokióban rendezték a napokban a szokásos, éves mobilfeltörési versenyt, a Pwn2Own 2018-at, a Trend Micro nevével fémjelezett ZDI (Zero Day Initative) szervezésében, több mint 500 ezer dollár jutalmazással. Ismét bebizonyosodott, hogy még a legdrágább és a legaktuálisabb operációsrendszer-verziót futtató telefonokon is lehet gyenge pontokat találni.

Három csúcstelefont (Apple iPhone X, Samsung Galaxy S9, Xiaomi Mi6) nyúzhattak a világ minden tájáról érkezett fehérkalapos hackerek, végül összesen 18 nulladik napi sebezhetőséget találtak, sőt nem egy esetben át tudták venni a teljes irányítást a készülék felett – írja a The Hacker News.

©

A legsikeresebb kétfős csapat (Fluoroacetate) például az iOS 12.1-et futtató iPhone X-ről tudott megszerezni egy korábban már törölt képet – ez 50 ezer dollárt hozott a számukra. A Samsung Galaxy S9-ben is találtak egy memória-túlcsordulási sebezhetőséget, amellyel kódfuttatási lehetőséghez jutottak – ezért újabb 50 ezer dollár ütötte a markukat.

De nem álltak itt meg, és a Xiaomi Mi6-ot is össztűz alá vették. Sikeresen kihasználták a készülék egy sebezhetőséget NFC-n keresztül: arra kényszerítették a telefont, hogy nyissa meg a webböngészőt, és egy speciálisan kialakított weboldalra navigáljon. Ez a hack 30 ezer dollárt ért, és még mindig volt muníció a Fluoroacetate tarsolyában. A második napon sikerült kihasználniuk egy túlcsordulást okozó sérülékenységet a Xiaomi-készülék webböngészőjének JavaScript motorjában, s ezzel képeket tudtak lopni az eszközről. Ezért 25 ezer dollárt kaptak, és összességében is a verseny legeredményesebb csapata lettek.

Egy másik igen sikeres csoport (MWR Labs) három sebezhetőséget fedezett fel a Galaxy S9-ben, amelyekkel például rosszindulatú appokat tudtak telepíteni a telefonra. 30 ezer dollár volt a jutalmuk. A Xiaomi Mi6-tal is próbálkoztak, és öt különböző hiba ötvözésével alkalmazásokat tudtak telepíteni az eszközre, megkerülve az engedélyezési listát, ráadásul automatikusan tudták indítani az appokat. Ez a trükk 30 ezer dollárt hozott a konyhára. A verseny második napján tovább nyúzták a telefont, és nekik is sikerült fotókat kinyerni a készülékből.

A labda most a gyártók térfelén pattog, a feltárt sebezhetőségek, biztonsági rések ugyanis mindaddig nyitva maradnak, amíg azokat be nem foltozzák.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.

Állj mellénk!

Tegyünk közösen azért, hogy a propaganda mellett továbbra is megjelenjenek a tények!

Ha neked is fontos a minőségi újságírás, kérjük, hogy támogasd a munkánkat.

Állj mellénk!

Tegyünk közösen azért, hogy a propaganda mellett továbbra is megjelenjenek a tények!

Ha neked is fontos a minőségi újságírás, kérjük, hogy támogasd a munkánkat.
Huszonöt év alatt harmadával nőtt a rákos megbetegedésben elhunytak száma

Huszonöt év alatt harmadával nőtt a rákos megbetegedésben elhunytak száma

A vírus bírja tovább, vagy a kínai gazdaság?

A vírus bírja tovább, vagy a kínai gazdaság?

Van olyan ország, ahol az IKEA-ban már fizethetünk az időnkkel

Van olyan ország, ahol az IKEA-ban már fizethetünk az időnkkel

Matolcsy nem akar beengedni két ellenzéki képviselőt a jegybankba

Matolcsy nem akar beengedni két ellenzéki képviselőt a jegybankba

Új gazdára vár ez a motorját a hátsó ülések helyén tudó régi Renault 5-ös

Új gazdára vár ez a motorját a hátsó ülések helyén tudó régi Renault 5-ös

Meggyilkoltak egy férfit Csepelen

Meggyilkoltak egy férfit Csepelen