Сколько зарабатывают этичные хакеры

На конкурсе Pon2Own 2018 Mobile Hacking, состоявшемся 13-14 ноября в Токио, так называемые этичные хакеры, еще раз продемонстрировали, что даже полностью исправные смартфоны, на которых установлена ​​последняя версия программного обеспечения от популярных производителей смартфонов, могут быть взломаны.

Среди устройств, которые были успешно взломаны на ежегодном конкурсе мобильных взломов, организованном инициативой Zero Day Initiative от Trend Micro (ZDI), были три основных флагманских смартфона - iPhone X, Samsung Galaxy S9 и Xiaomi Mi6.

Новый баг iPhone дает доступ любому к вашим приватным фотографиям
Хосе Родригес, испанский любитель тестирования безопасности, обнаружил ошибку в iOS 12

Группы хакеров раскрыли в общей сложности 18 уязвимостей в течение дня в мобильных устройствах, произведенных компаниями Apple, Samsung и Xiaomi, а также обработанные эксплойты, которые позволили им полностью захватить выбранные устройства.

Как перезагрузить iPhone
Ваш смартфон завис? Вот как перезагрузить iPhone

Взломано Apple iPhone X с обновлением iOS 12.1

Команда из двух исследователей, Richard Zhu и Amat Cama, (Fluoroacetate), обнаружила и сумела использовать пару уязвимостей в полностью исправленном Apple iPhone X по Wi-Fi.

Дуэт объединил уязвимость « just-in-time» (JIT) в веб-браузере iOS (Safari) вместе с ошибкой записи за пределами полосы пропускания с iPhone под управлением iOS 12.1.

Для их демонстрации пара решила получить фотографию, которая недавно была удалена с целевого iPhone, что, безусловно, стало неожиданностью для человека на картинке.

Исследование принесло им 50 000 долларов призовых.

Ричард Чжу и Амат Кама (Team Fluoroacetate)
Ричард Чжу и Амат Кама (Team Fluoroacetate)

Кроме того, GOT HACKED Samsung Galaxy S9!

Помимо iPhone X, команда Fluoroacetate также взломала Samsung Galaxy S9, используя уязвимость переполнения памяти в компоненте базовой полосы телефона и получив выполнение кода.

Команда заработала 50 000 долларов призовых, за эту проблему.

Специальные смартфоны для криминальных структур
Phantom Secure является одной из самых печально известных компаний в индустрии безопасных телефонов.


«Атаки базовой полосы особенно актуальны, поскольку кто-то может отказаться от присоединения к сети Wi-Fi, но у них нет такого контроля при подключении к baseband», - заявила инициатива Zero Day в сообщении в блоге (1-й день).

Команда MWR Labs ( Georgi Geshev, Fabi Beterke, and Rob Miller)обнаружила еще три различных уязвимости, которые объединили, чтобы успешно использовать Samsung Galaxy S9 по Wi-Fi, заставляя устройство подключаться к порталу без какого-либо взаимодействия с пользователем.

Пять советов по использованию общедоступной сети Wi-Fi

Затем команда использовала небезопасную переадресацию и небезопасную загрузку приложения, чтобы установить собственное приложение на целевом устройстве Samsung Galaxy S9.

MWR Labs был награжден 30 000 долларами.

Шесть из самых маленьких смартфонов, которые покорят Вас.
Из за смартфонов, кажущихся с каждым годом, все больше и больше, мы уже забываем что самые маленькие смартфоны так же могут иметь много преимуществ.

Xiaomi Mi6 - Да, это слишком БОЛЬШЕ!

Fluoroacetate не останавливался на достигнутом. Команда также смогла успешно использовать мобильный телефон Xiaomi Mi6 через NFC (ближняя бесконтактная связь).

«Используя функцию touch-to-connect, они заставили телефон открыть веб-браузер и перейти к их специально созданной веб-странице», - сказал ZDI.

«Во время демонстрации мы даже не понимали, что происходит до тех пор, пока не стало слишком поздно. Другими словами, у пользователя не было бы шансов предотвратить это действие в реальном мире».

Уязвимость команде Fluoroacetate принесла еще 30 000 долларов.

Во второй день, команда Fluoroacetate также успешно использовала уязвимость с переполнением целочисленного числа в движке JavaScript веб-браузера смартфона Xiaomi Mi6, что позволяло им фильтровать изображение с устройства.

Георгий Гешев, Фаби Бетерке и Роб Миллер (MWR Labs)
Георгий Гешев, Фаби Бетерке и Роб Миллер (MWR Labs)

Чтобы достичь своей цели, хакеры сначала вынудили веб-браузер по умолчанию для телефона Xiaomi Mi6 перейти на вредоносный веб-сайт, когда телефон был подключен к серверу Wi-Fi, которым они управляют.

Сочетание уязвимостей принесло команде MWR 30 000 долларов.

Смартфоны 2018, выбираем лучший дизайн
Рамка на лицевой стороне смартфона может вскоре вообще исчезнуть

Следом, команда MWR объединила недостаток в загрузке наряду с установленным по умолчанию приложением.

Это принесло им еще 25 000 долларов.

Исследователю, Michael Contreras, удалось использовать уязвимость в стиле JavaScript для получения кода на телефоне Xiaomi Mi6.

Он заработал 25 000 долларов.

Fluoroacetate, выиграла титул «Мастер зла» в 2018 году

Общий призовой фонд команды (Richard Zhu и Amat Cama) составил 215 000 долларов, они запустили пять из шести успешных демонстраций эксплойтов против iPhone X, Galaxy S9 и Xiaomi Mi6.

Уязвимости будут оставаться открытыми, пока поставщики не выпустят исправления безопасности для их устранения.

Закрыта ошибка позволяющая пользователям бесплатно скачивать игры

Ошибка, обнаруженная исследователем безопасности Артемом Московским, была найдена на портале разработчиков Steam и позволяла любому генерировать лицензионные ключи без оплаты.

Moskowsky впервые представил отчет об этом изъяне в начале августа. Три дня спустя, Valve предоставил $ 15,000 вознаграждения, а также бонус в размере 5000 долларов за работу, хотя Valve разрешил опубликовать отчет только 31 октября.

Есть что сказать об этой статье? Комментарий ниже или поделиться им с нами в Facebook , Twitter.