Az őszi, Tokióban megrendezett Pwn2Own hackerverseny kifejezetten a mobil eszközökre koncentrált. A tavaszi fordulóban a desktop volt terítéken, akkor többek között az Internet Explorer, az Apple Safari, a Firefox, az Adobe Flash Player és az Adobe Reader is elbukott. A Mobile Pwn2Own indulói nyolc mobil eszközön keresték a biztonsági réseket
– Amazon Fire Phone
– Apple iPhone 5s
– Apple iPad Mini
– BlackBerry Z30
– Google Nexus 5
– Google Nexus 7
– Nokia Lumia 1520
– Samsung Galaxy S5.
Mint azt korábban írtuk, a verseny főszponzor, a HP ZDI idén megemelte a pénzjutalmakat. A tavalyi 125 ezer dolláros összedíjazással szemben idén 425 ezer dollárt osztottak szét a sikeresen hackelő csapatok között.
A kétnapos versenyen – melyről a Biztonságportál készített összefoglalót – az első áldozat az Apple iPhone 5S volt: egy dél-koreai versenyző a Safari böngésző két sebezhetőségével ütötte ki meglehetősen rövid idő alatt az almás mobilt. Így sikerült áttörnie a sandbox védelmet, majd át is vette a készülék feletti irányítást.
Hasonlóan gyorsan esett el a Samsung Galaxy S5 védelme is. Több csapat is sikeresen hatolt át a beépített biztonsági eljárásokon. Érdekesség, hogy minden sikerrel járó csapat az NFC egységben talált olyan sebezhetőséget, ami sikerre vezette.
A Google Nexusa sem állt ellent sokáig: az egyik versenyző azt mutatta be, hogy miként lehet Bluetooth-on keresztül visszaéléseket elkövetni a Google mobilján.
Az első nap végére marad az Amazon Fire Phone hackelése. A Fire Phone-ban az MWR InfoSecurity nevű csapat három olyan biztonsági rést is talált, amivel gyorsan fel tudták törni a védelmét.
A második napra jutottak a nehezebb feladatok, vagy a versenyzők fáradtak el. Mindenesetre sikertelennek bizonyult egy androidos hackelés, és a Windows Phone-os Nokia Lumia 1520 elleni támadás sem volt sikeres.
A Nokia mobil törésével az a Nico Joly próbálkozott, aki a tavaszi Pwn2Own-n már kapott díjat, akkor a VUPEN csapatának tagjaként. Addig sikerrel járt, hogy hozzáfért a mobilon lévő cookie-khoz, ám a sandbox védelmen nem tudott túljutni, így az irányítást sem urdta átvenni a Nokia mobil fölött. Így a díjról is lecsúszott, annak ugyanis az a feltétele, hogy a hacker átvegye az irányítást a feltört készülék fölött.
A verseny indulói a kiírásnak megfelelően a hackelések technikai részleteit átadták a HP ZDI szakértőinek, akik már értesítették az érintett gyártókat a feltárt biztonsági résekről. (A BlackBerry telefonjával állítólag senki sem próbálkozott.)
Biztonságos M2M kommunikáció nagyvállalti környezetben a Balasystól
A megnövekedett támadások miatt az API-k biztonsága erősen szabályozott és folyamatosan auditált terület, amelynek védelme a gépi kommunikáció (M2M) biztonságossá tételén múlik.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak