В Токио, в рамках конференции PacSec, вновь проходит соревнование Mobile Pwn2Own, где «белые» хакеры взламывают различные мобильные девайсы и соответствующее ПО. В этом году общий приз состязания был увеличен до 500 000 долларов, и участникам предложили сломать аппараты Google Pixel, Samsung Galaxy S8, Apple iPhone 7, а также Huawei Mate9 Pro.
Атаковать предложенные устройства нужно было по четырем разным векторам: браузеры, беспроводная связь ближнего действия (Wi-Fi, Bluetooth и NFC), мессенджеры, а также baseband-компоненты. При этом ПО на всех девайсах было обновлено до самых последних версий, а Apple, Google и Huawei заставили конкурсантом понервничать, выпустив патчи прямо в ночь перед соревнованиями.
В первый же день натиска хакеров не выдержали браузер Galaxy S8 и Safari на iPhone 7, также были взломаны Wi-Fi на iPhone 7 и baseband в Mate 9 Pro. Суммарно специалисты заработали в первый день состязаний более 350 000 долларов.
Второй день состязания оказался не менее продуктивным. Так, был взломан Google Chrome на Mate 9 Pro, и сразу пять логических багов в приложениях Huawei позволили специалистам MWR Labs реализовать побег из песочницы браузера. Эта же команда продемонстрировала и 11 уязвимостей в составе шести различных приложений, которые затем были использованы для компрометации браузера на Galaxy S8.
Интересно, что компрометация коснулась и новейшей iOS 11.1. Так, представитель Tencent Keen Security Lab продемонстрировал эксплуатацию сразу двух багов. Первая уязвимость позволила специалисту добиться устойчивого присутствия вредоносного приложения в системе, а вторая проблема позволила покинуть песочницу браузера и выполнить вредоносный код. Подробности об эксплоитах и самых уязвимостях пока не раскрываются, так как сначала компании Apple понадобится время на исправление этих проблем.
Кроме того, специалисты, Qihoo 360 продемонстрировали успешную компрометацию Wi-Fi компонента iPhone 7, однако этот взлом принес команде меньше денег и конкурсных баллов, чем мог бы. Дело в том, что один из трех задействованных для компрометации Wi-Fi эксплоитов до этого задействовал и раскрыл другой конкурсант.
Напомню, что релиз iOS 11.1 состоялся ранее на этой неделе. Обновленная версия устранила уязвимость KRACK и еще 19 проблем с безопасностью.
