В Токио, в рамках конференции PacSec, вновь проходит соревнование Mobile Pwn2Own, где «белые» хакеры взламывают различные мобильные девайсы и соответствующее ПО. В этом году общий приз состязания был увеличен до 500 000 долларов, и участникам предложили сломать аппараты Google Pixel, Samsung Galaxy S8, Apple iPhone 7, а также Huawei Mate9 Pro.

Атаковать предложенные устройства нужно было по четырем разным векторам: браузеры, беспроводная связь ближнего действия (Wi-Fi, Bluetooth и NFC), мессенджеры, а также baseband-компоненты. При этом ПО на всех девайсах было обновлено до самых последних версий, а Apple, Google и Huawei заставили конкурсантом понервничать, выпустив патчи прямо в ночь перед соревнованиями.

В первый же день натиска хакеров не выдержали браузер Galaxy S8 и Safari на iPhone 7, также были взломаны Wi-Fi на iPhone 7 и baseband в Mate 9 Pro. Суммарно специалисты заработали в первый день состязаний более 350 000 долларов.

Второй день состязания оказался не менее продуктивным. Так, был взломан Google Chrome на Mate 9 Pro, и сразу пять логических багов в приложениях Huawei позволили специалистам MWR Labs  реализовать побег из песочницы браузера. Эта же команда продемонстрировала и 11 уязвимостей в составе шести различных приложений, которые затем были использованы для компрометации браузера на Galaxy S8.

Интересно, что компрометация коснулась и новейшей iOS 11.1. Так, представитель Tencent Keen Security Lab продемонстрировал эксплуатацию сразу двух багов. Первая уязвимость позволила специалисту добиться устойчивого присутствия вредоносного приложения в системе, а вторая проблема позволила покинуть песочницу браузера и выполнить вредоносный код. Подробности об эксплоитах и самых уязвимостях пока не раскрываются, так как сначала компании Apple понадобится время на исправление этих проблем.

Одного из приложений здесь быть не должно

Кроме того, специалисты, Qihoo 360 продемонстрировали успешную компрометацию Wi-Fi компонента iPhone 7, однако этот взлом принес команде меньше денег и конкурсных баллов, чем мог бы. Дело в том, что один из трех задействованных для компрометации Wi-Fi эксплоитов до этого задействовал и раскрыл другой конкурсант.

Напомню, что релиз iOS 11.1 состоялся ранее на этой неделе. Обновленная версия устранила уязвимость KRACK и еще 19 проблем с безопасностью.



3 комментария

  1. Il

    04.11.2017 at 13:46

    Ну сломали, а защититься то как?

  2. growpenny

    04.11.2017 at 20:09

    Ждать обновлений, видимо.

Оставить мнение