Pratite nas preko RSS-aNa takmičenju Mobile Pwn2Own hakovani Safari, Chrome i Samsung Galaxy S4
Mobilni telefoni, 15.11.2013, 07:27 AM
Samsung Galaxy S4 u kategoriji operativnih sistema i Safari i Chrome u kategoriji mobilnih browsera su hakovani. Ovo bi bio ukratko rezultat drugog po redu hakerskog takmičenja Mobile Pwn2Own koje se održalo u okviru konferencije PacSec Applied Security u Tokiju.
Kineski Keen Team demonstrirao je dva posebna Safari exploit-a koji su im omogućili hakerima da dođu do korisničkog imena i lozinke za Faceboook nalog na iOS verziji 7.0.3 i krađu fotografija na iOS 6.1.4.
U prvom slučaju, kineski hakeri su preko Safarija ukrali Facebook kolačić koji je iskorišćen za kompromitovanje odabranog Facebook naloga sa drugog računara. Da bi exploit bio uspešan, korisnik mora da klikne na link u emailu, u SMS-u ili na web stranici, što znači da je potrebno malo društvenog inženjeringa da bi se korisnik naterao na to.
U slučaju drugog exploit-a, koji je takođe bio Safari exploit, iskorišćena je slabost modela za dozvole programa. I u ovom slučaju neophodno je delovanje korisnika koji treba da klikne na link.
Tim kineskih hakera je uspeo da sakupi nagrade u ukupnom iznosu od 27500 dolara.
Japanski tim hakera MBSD takmičio se sa nekoliko exploit-a za različite podrazumevane aplikacije na Samsung Galaxy S4 i uspeo je da ih poveže tako da krišom instalira zlonamernu aplikaciju koja krade podatke sa uređaja, kao što su kontakti, istorija pretraživanja, SMS poruke i drugi. Njihovim exploit-ima nije potrebna pomoć korisnika u vidu klika na link, već je dovoljno da se korisnik namami da poseti specijalno napravljeni web sajt. Ovi exploit-i pokazuju da su mobilne platforme podložne istim ili veoma sličnim metodama distribucije malvera kao i desktop platforme, ali je malo verovatno da su korisnici svesni ovog rizika.
Japanski tim je na takmičenju osvojio 40000 dolara.
Drugog dana takmičenja kompromitovan je Chrome na Nexus 4 i Samsung Galaxy S4 a za to je zaslužan tinejdžer „PinkiePie“ koji je imao uspeha i na prošlogodišnjem takmičenju Pwn2Own. On je iskoristio dve ranjivosti u Chrome-u koje omogućavaju daljinsko izvršenje koda na napadnutom uređaju. Ovaj napad zahteva od korisnika da otvori maliciozi link. PinkiePie je odneo kući 50000 dolara.
Prema pravilima takmičenja, kompanije čiji su browseri, operativni sistem i uređaji podložni napadima koji su demonstrirani na takmičenju, dobiće detaljne informacije o ranjivostima koje bi trebalo ubrzo da budu zakrpljene.
Izdvojeno
NoVoice malver na Google Play: zaraženo 2,3 miliona Android uređaja
Novi Android malver pod nazivom NoVoice otkriven je u Google Play prodavnici, skriven u više od 50 aplikacija koje su zajedno preuzete najmanje 2,3 m... Dalje
Apple napravio neuobičajen potez: bezbednosne zakrpe za iOS 18 zbog DarkSword exploita
Apple je doneo neuobičajenu odluku da zaštiti starije iPhone uređaje, potvrdivši da će objaviti bezbednosno ažuriranje za uređaje koji i dalje ... Dalje
Novi Android malver Perseus krade lozinke, bankovne podatke i lične beleške
Novi Android malware nazvan Perseus širi se kroz aplikacije za gledanje televizije putem interneta, sa ciljem krađe lozinki, bankovnih podataka i sa... Dalje
Nova zaštita od Android malvera: Google uvodi 24h čekanja za instalaciju aplikacija van Play prodavnice
Google je najavio novi „advanced flow“ za sideloading aplikacija na Androidu, koji uvodi obavezni period čekanja od 24 sata pre instalaci... Dalje
Nova iOS pretnja DarkSword zaobilazi zaštite i krade podatke korisnika
Istraživači kompanije za mobilnu bezbednost Lookout otkrili su novu kampanju koja koristi exploit kit za iOS uređaje pod nazivom DarkSword, koji om... Dalje
Pratite nas
Nagrade
Prijatelji
