Pratite nas preko RSS-aNa takmičenju Mobile Pwn2Own hakovani Safari, Chrome i Samsung Galaxy S4
Mobilni telefoni, 15.11.2013, 07:27 AM
Samsung Galaxy S4 u kategoriji operativnih sistema i Safari i Chrome u kategoriji mobilnih browsera su hakovani. Ovo bi bio ukratko rezultat drugog po redu hakerskog takmičenja Mobile Pwn2Own koje se održalo u okviru konferencije PacSec Applied Security u Tokiju.
Kineski Keen Team demonstrirao je dva posebna Safari exploit-a koji su im omogućili hakerima da dođu do korisničkog imena i lozinke za Faceboook nalog na iOS verziji 7.0.3 i krađu fotografija na iOS 6.1.4.
U prvom slučaju, kineski hakeri su preko Safarija ukrali Facebook kolačić koji je iskorišćen za kompromitovanje odabranog Facebook naloga sa drugog računara. Da bi exploit bio uspešan, korisnik mora da klikne na link u emailu, u SMS-u ili na web stranici, što znači da je potrebno malo društvenog inženjeringa da bi se korisnik naterao na to.
U slučaju drugog exploit-a, koji je takođe bio Safari exploit, iskorišćena je slabost modela za dozvole programa. I u ovom slučaju neophodno je delovanje korisnika koji treba da klikne na link.
Tim kineskih hakera je uspeo da sakupi nagrade u ukupnom iznosu od 27500 dolara.
Japanski tim hakera MBSD takmičio se sa nekoliko exploit-a za različite podrazumevane aplikacije na Samsung Galaxy S4 i uspeo je da ih poveže tako da krišom instalira zlonamernu aplikaciju koja krade podatke sa uređaja, kao što su kontakti, istorija pretraživanja, SMS poruke i drugi. Njihovim exploit-ima nije potrebna pomoć korisnika u vidu klika na link, već je dovoljno da se korisnik namami da poseti specijalno napravljeni web sajt. Ovi exploit-i pokazuju da su mobilne platforme podložne istim ili veoma sličnim metodama distribucije malvera kao i desktop platforme, ali je malo verovatno da su korisnici svesni ovog rizika.
Japanski tim je na takmičenju osvojio 40000 dolara.
Drugog dana takmičenja kompromitovan je Chrome na Nexus 4 i Samsung Galaxy S4 a za to je zaslužan tinejdžer „PinkiePie“ koji je imao uspeha i na prošlogodišnjem takmičenju Pwn2Own. On je iskoristio dve ranjivosti u Chrome-u koje omogućavaju daljinsko izvršenje koda na napadnutom uređaju. Ovaj napad zahteva od korisnika da otvori maliciozi link. PinkiePie je odneo kući 50000 dolara.
Prema pravilima takmičenja, kompanije čiji su browseri, operativni sistem i uređaji podložni napadima koji su demonstrirani na takmičenju, dobiće detaljne informacije o ranjivostima koje bi trebalo ubrzo da budu zakrpljene.
Izdvojeno
Twitter za Android ima bag koji omogućava napadačima da pristupe privatnim porukama korisnika
Twitter je objavio da je popravio bezbednosni propust u aplikaciji Twitter za Android koji bi mogao omogućiti napadačima da dobiju pristup privatni... Dalje
Slabosti u popularnoj aplikaciji za upoznavanje OkCupid mogu omogućiti hakerima da čitaju poruke korisnika
Istraživači kompanije Check Point upozorili su na nekoliko bezbednosnih problema na popularnoj platformi za online upoznavanje OkCupid koji mogu omo... Dalje
iOS14 otkrio: Instagram uključuje kameru čak i dok samo gledate fotografije u aplikaciji
Posle baga koji je otkriven u Firefoxu za Android zbog koga kamera telefona ostaje aktivna kada aplikacija radi u pozadini ili čak i kada je telefon ... Dalje
''BadPower'' napad na punjač može uništiti pametni telefon
Istraživači iz kineske firme Tencent testirali su BadPower napade na 35 modela punjača za brzo punjenje od 234 dostupna na tržištu, i ispostavilo... Dalje
Google iz Play prodavnice uklonio 29 zlonamernih aplikacija za uređivanje fotografija
Istraživači iz White Ops Satori Threat otkrili su 29 zlonamernih Android aplikacija u Play prodavnici koje imaju ukupno 3,5 miliona preuzimanja i ko... Dalje