Goodnews.ua


В Samsung Galaxy S9 и Xiaomi Mi6 обнаружены серьезные уязвимости

Ноябрь 16
11:03 2018

Участники хакерских соревнований Pwn2Own 2018, проходивших в Токио 13-14 ноября, в очередной раз доказали, что даже работающее под управлением новейшей версии ОС мобильное устройство со всеми обновлениями безопасности все равно можно взломать.

В ходе соревнований участники успешно взломали смартфоны от трех крупнейших производителей – iPhone X, Samsung Galaxy S9 и Xiaomi Mi6. «Белые шляпы» со всего мира обнаружили в вышеупомянутых устройствах 18 ране неизвестных уязвимостей и создали для них соответствующие эксплоиты, заработав в общей сложности $325 тыс.

Команде под названием Fluoroacetate, состоящей из двух человек – Ричарда Чжу (Richard Zhu) и Амата Камы (Amat Cama), удалось взломать Samsung Galaxy S9 путем эксплуатации уязвимости переполнения кучи (heap overflow) в компоненте смартфона, отвечающем за основную полосу частот. За свое открытие команда получила $50 тыс.

Еще три уязвимости были обнаружены командой MWR, взломавшей с их помощью Samsung Galaxy S9 через Wi-Fi. Затем с использованием небезопасного перенаправления участники установили на атакуемее устройство вредоносное приложение, получив награду в размере $30 тыс.

В рамках соревнований Fluoroacetate успешно взломала еще один смартфон – Xiaomi Mi6. С помощью технологии NFC команда смогла заставить смартфон незаметно от пользователя открыть в браузере особым образом сконфигурированную страницу и получила за это $30 тыс.

Во второй день соревнований Fluoroacetate успешно проэксплуатировала уязвимость целочисленного переполнения (integer overflow) в JavaScript-движке браузера на Xiaomi Mi6 и извлекла хранящиеся на смартфоне фотографии. Обнаружение уязвимости принесло команде еще $25 тыс.

Независимый участник Майкл Контрерас (Michael Contreras) получил $25 тыс. за уязвимость type confusion, позволившей ему выполнить произвольный код на Xiaomi Mi6.

Как несложно догадаться, чемпионом Pwn2Own 2018 стала команда Fluoroacetate, в общей сложности заработавшая $215 тыс. и получившая титул «Master of Pwn». Подробности об обнаруженных ею уязвимостях будут раскрыты через 90 дней, чтобы дать возможность производителям подготовить исправления. До выхода патчей устройства будут уязвимы к атакам.

Источник: securitylab.ru

Share

Статьи по теме







0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Залишаючи свій коментар, пам'ятайте, що зміст та тональність вашого повідомлення можуть зачіпати почуття реальних людей, що безпосередньо чи опосередковано пов'язані із цією новиною. Виявляйте повагу та толерантність до своїх співрозмовників. Користувачі, які систематично порушують це правило, будуть заблоковані.

Website Protected by Spam Master


Останні новини

«Они будут более агрессивными»: Ребров — о матче с Грузией в Лиге наций

Читать всю статью

Ми у соцмережах




Наші партнёри

UA.TODAY - Украина Сегодня UA.TODAY
Goodnews.ua