События

В Samsung Galaxy S9 и Xiaomi Mi6 обнаружены серьезные уязвимости

Участники хакерских соревнований Pwn2Own 2018, проходивших в Токио 13-14 ноября, в очередной раз доказали, что даже работающее под управлением новейшей версии ОС мобильное устройство со всеми обновлениями безопасности все равно можно взломать.

В ходе соревнований участники успешно взломали смартфоны от трех крупнейших производителей – iPhone X (об этом SecurityLab сообщал раньше), Samsung Galaxy S9 и Xiaomi Mi6. «Белые шляпы» со всего мира обнаружили в вышеупомянутых устройствах 18 ране неизвестных уязвимостей и создали для них соответствующие эксплоиты, заработав в общей сложности $325 тыс.

Команде под названием Fluoroacetate, состоящей из двух человек – Ричарда Чжу (Richard Zhu) и Амата Камы (Amat Cama), удалось взломать Samsung Galaxy S9 путем эксплуатации уязвимости переполнения кучи (heap overflow) в компоненте смартфона, отвечающем за основную полосу частот. За свое открытие команда получила $50 тыс.

Еще три уязвимости были обнаружены командой MWR, взломавшей с их помощью Samsung Galaxy S9 через Wi-Fi. Затем с использованием небезопасного перенаправления участники установили на атакуемее устройство вредоносное приложение, получив награду в размере $30 тыс.

В рамках соревнований Fluoroacetate успешно взломала еще один смартфон – Xiaomi Mi6. С помощью технологии NFC команда смогла заставить смартфон незаметно от пользователя открыть в браузере особым образом сконфигурированную страницу и получила за это $30 тыс.

Во второй день соревнований Fluoroacetate успешно проэксплуатировала уязвимость целочисленного переполнения (integer overflow) в JavaScript-движке браузера на Xiaomi Mi6 и извлекла хранящиеся на смартфоне фотографии. Обнаружение уязвимости принесло команде еще $25 тыс.

Независимый участник Майкл Контрерас (Michael Contreras) получил $25 тыс. за уязвимость type confusion, позволившей ему выполнить произвольный код на Xiaomi Mi6.

Как несложно догадаться, чемпионом Pwn2Own 2018 стала команда Fluoroacetate, в общей сложности заработавшая $215 тыс. и получившая титул «Master of Pwn». Подробности об обнаруженных ею уязвимостях будут раскрыты через 90 дней, чтобы дать возможность производителям подготовить исправления. До выхода патчей устройства будут уязвимы к атакам.

Источник

Автор: Сергей Куприянов
15.11.2018 (17:17)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.