r   e   k   l   a   m   a
r   e   k   l   a   m   a

Exploity dla Pixela: koniec przechwałek o bezpieczeństwie porównywalnym z iPhonem

Strona główna AktualnościBEZPIECZEŃSTWO

Nie wiadomo, po co Google przechwalało się bezpieczeństwem swoich nowych smartfonów Pixel, które rzekomo miały dorównać w tej kwestii iPhone’om. Fantazje Adriana Ludwiga, dyrektora bezpieczeństwa Androida w Mountain View szybko zostały zweryfikowane przez chińskich hakerów podczas drugiego dnia imprezy PwnFest 2016 na konferencji Power of Community w Seulu. Udało im się zdalnie uruchomić kod na flagowcu Google’a, każąc otwarcie zapytać – czy w pełni bezpieczny Android w ogóle jest możliwy? Słabość Pixeli jest tym wyraźniejsza, że nowego iPhone’a 7 z iOS-em 10 na PwnFest 2016 nie złamał nikt, mimo że nagroda była atrakcyjna, wynosiła łącznie 180 tys. dolarów.

Alpha Team, zespół chińskich whitehatów z firmy Qihoo 360, zademonstrował atak, którego przeprowadzenie zajmuje raptem 60 sekund. Jak zwykle szczegółów nie ujawniono nikomu poza producentem, ale najwyraźniej znów wykorzystuje jakiś błąd w Chrome. Exploit uruchomił sklep Google Play, a następnie otworzył Chrome, wyświetlając stronę internetową z komunikatem o przejęciu („pwned by 360 Alpha Team”). Nagroda za złamanie Pixela to 120 tys. dolarów.

Atak ten może mieć coś wspólnego z pierwszym publicznie zademonstrowanym exploitem na Pixela, na imprezie Pwn2Own w Japonii. Odpowiedzialny za niego był zespół Keen Team z firmy Tencent, dawał on dostęp napastnikom do wszystkich informacji przechowywanych w smartfonie.Google poinformowało, że wykorzystana wówczas luka została załatana w ciągu 24 godzin i udostępniona w aktualizacji do stabilnej gałęzi wydań Chrome.

r   e   k   l   a   m   a

Zgodnie z oczekiwaniami uległa także przeglądarka Safari (uruchomiona na najnowszym macOS-ie Sierra). Tu popisali się chińscy hakerzy z Pangu Team, dobrze znani z robienia jailbreaków na iOS-a. Ich exploitowi zajęło 20 sekund na uruchomienie własnego kodu, i to z uprawnieniami roota. Nagroda wyniosła 80 tys. dolarów.

Jak się można było spodziewać ofiarą ataków padł także Flash Player na Windowsie 10. Znów autorami exploita byli ludzie z Qihoo. Wykorzystali w swoim ataku błąd w kernelu Windowsa i jakiś bardzo stary błąd z use-after-free. W nagrodę dostali 120 tys. dolarów.

Łącznie Chińczycy z Qihoo zabiorą do domu 520 tys. dolarów za swoje starania, radząc sobie w ciągu dwóch dni konkursu z Microsoft Edge, VMware Workstation, Androidem i Flashem. To świetny zespół – nic dziwnego, że antywirus Qihoo, 360 Total Security, w testach antywirusów uzyskuje czołowe wyniki.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.