Idén is megrendezték a fehérkalapos hackerek versenyét, és újra csak kiderült, még a legdrágább okostelefonok gazdái sem érezhetik teljes biztonságban a készüléküket.

A legnagyobb hackerek vs. a legnevesebb márkák: Tokióban rendezték a napokban a szokásos, éves mobilfeltörési versenyt, a Pwn2Own 2018-at, a Trend Micro nevével fémjelezett ZDI (Zero Day Initative) szervezésében, több mint 500 ezer dollár jutalmazással. Ismét bebizonyosodott, hogy még a legdrágább és a legaktuálisabb operációsrendszer-verziót futtató telefonokon is lehet gyenge pontokat találni.

Három csúcstelefont (Apple iPhone X, Samsung Galaxy S9, Xiaomi Mi6) nyúzhattak a világ minden tájáról érkezett fehérkalapos hackerek, végül összesen 18 nulladik napi sebezhetőséget találtak, sőt nem egy esetben át tudták venni a teljes irányítást a készülék felett – írja a The Hacker News.

ZDI

A legsikeresebb kétfős csapat (Fluoroacetate) például az iOS 12.1-et futtató iPhone X-ről tudott megszerezni egy korábban már törölt képet – ez 50 ezer dollárt hozott a számukra. A Samsung Galaxy S9-ben is találtak egy memória-túlcsordulási sebezhetőséget, amellyel kódfuttatási lehetőséghez jutottak – ezért újabb 50 ezer dollár ütötte a markukat.

De nem álltak itt meg, és a Xiaomi Mi6-ot is össztűz alá vették. Sikeresen kihasználták a készülék egy sebezhetőséget NFC-n keresztül: arra kényszerítették a telefont, hogy nyissa meg a webböngészőt, és egy speciálisan kialakított weboldalra navigáljon. Ez a hack 30 ezer dollárt ért, és még mindig volt muníció a Fluoroacetate tarsolyában. A második napon sikerült kihasználniuk egy túlcsordulást okozó sérülékenységet a Xiaomi-készülék webböngészőjének JavaScript motorjában, s ezzel képeket tudtak lopni az eszközről. Ezért 25 ezer dollárt kaptak, és összességében is a verseny legeredményesebb csapata lettek.

Egy másik igen sikeres csoport (MWR Labs) három sebezhetőséget fedezett fel a Galaxy S9-ben, amelyekkel például rosszindulatú appokat tudtak telepíteni a telefonra. 30 ezer dollár volt a jutalmuk. A Xiaomi Mi6-tal is próbálkoztak, és öt különböző hiba ötvözésével alkalmazásokat tudtak telepíteni az eszközre, megkerülve az engedélyezési listát, ráadásul automatikusan tudták indítani az appokat. Ez a trükk 30 ezer dollárt hozott a konyhára. A verseny második napján tovább nyúzták a telefont, és nekik is sikerült fotókat kinyerni a készülékből.

A labda most a gyártók térfelén pattog, a feltárt sebezhetőségek, biztonsági rések ugyanis mindaddig nyitva maradnak, amíg azokat be nem foltozzák.