Na hakerskom takmičenju Pwn2Own hakovana sva četiri vodeća browsera

Vesti, 23.03.2015, 01:00 AM

Hakeri koji su učestvovali na takmičenju Pwn2Own uspeli su da hakuju sva četiri popularna browsera, kao i Adobe Reader i Flash Player pluginove.

Najveći uspeh ostvario je južnokorejski haker Jung Hun Li, koji je na internetu poznat po nadimu lokihardt. On je hakovao Internet Explorer 11 i Google Chrome na Microsoftovom Windowsu, kao i Appleov Safari na Mac OS X.

Tako je Li otišao kući sa ukupno 225000 dolara sa koliko je nagrađen zbog svojih hakerskih podviga. Pored novčanih nagrada, on je osvojio i nove laptopove na kojima je demonstrirao napade i koje i inače pobednici nose kući.

Takmičenje Pwn2Own održava se svake godine u okviru konferencije CanSecWest posvećene bezbednosti, u Vankuveru, u Kanadi. Sponzor takmičenja je Hewlett-Packardov program Zero Day Initiative.

Lijev napad na Google Chrome nagrađen je najvećom sumom koja je ikada isplaćena za jedan exploit u istoriji takmičenja: on je dobio 75000 dolara za bag U Chromeu, dodatnih 25000 za eskalaciju privilegija na sistemu i dodatnih 10000 za napad na beta verziju browsera - ukupno 110000 dolara.

IE11 exploit mu je doneo dodatnih 65000 dolara, a hakovanje Safarija još 50000 dolara.

Lijev uspeh je posebno impresivan i zbog toga što se on takmičio samostalno, za razliku od drugih istraživača koji su bili u timovima.

Haker handle ilxu1a koji je hakovao Mozilla Firefox na Windowsu zaradio je 15000 dolara. On je pokušao da hakuje i Chrome, ali mu je vreme isteklo pre nego što je njegov exploit proradio.

Firefox je hakovan i dan ranije, tokom prvog dana takmičenja, a zasluge za to idu istraživaču Mariuszu Mlynskom. On je takođe iskoristio propust u Windowsu i zaradio dodatnih 25000 dolara, pored 30000 dolara koliko mu je isplaćeno za hakovanje Firefoxa.

Nešto ranije istog dana, kineski istraživači iz Team509 i KeenTeam udružili su snage i hakovali FlashPlayer u Internet Exploreru 11 na Windowsu. Oni su ovaj napad kombinovali sa propustom u Windows kernelu i osvojili ukupno 85000 dolara.

Istraživači iz KeenTeam, zajedno sa Jun Maom iz Tencent PC Managera, kasnije su hakovali Adobe Reader u IE11 i zaradili 55000 dolara.

Adobe Reader i Flash Player hakovao je i Nikolas Žoli, koji se ranije takmičio za francusku firmu Vupen. On je kući otišao bogatiji za 90000 dolara koliko je dobio za svoje exploite.

Većina napada koji su se videli na ovogodišnjem Pwn2Own zahtevala je iskorišćavanje nekoliko ranjivosti zajedno da bi se izbegli svi odbrambeni mehanizmu u operativnim sistemima i browserima koji sprečavaju daljinsko izvršenje koda.

Pet propusta u Windowsu, četiri u IE 11, po tri u Firefoxu, Adobe Readeru i Flash Playeru, dva u Safariju i jedan u Chromeu prijavljeni su proizvođačima posle takmičenja, što je u skladu sa pravilima Pwn2Own.