Следующая новость
Предыдущая новость

Сразу несколько багов обнаружены в новой iOS 11.1 в ходе соревнования Pwn2Own

04.11.2017 0:06
Сразу несколько багов обнаружены в новой iOS 11.1 в ходе соревнования Pwn2Own

В Токио, в рамках конференции PacSec, вновь проходит соревнование Mobile Pwn2Own, где «белые» хакеры взламывают различные мобильные девайсы и соответствующее ПО. В этом году общий приз состязания был увеличен до 500 000 долларов, и участникам предложили сломать аппараты Google Pixel, Samsung Galaxy S8, Apple iPhone 7, а также Huawei Mate9 Pro.

Атаковать предложенные устройства нужно было по четырем разным векторам: браузеры, беспроводная связь ближнего действия (Wi-Fi, Bluetooth и NFC), мессенджеры, а также baseband-компоненты. При этом ПО на всех деайсах было обновлено до самых последних версий, а Apple, Google и Huawei заставили конкурсантом понервничать, выпустив патчи прямо в ночь перед соревнованиями.

В первый же день натиска хакеров не выдержали браузер Galaxy S8 и Safari на iPhone 7, также были взломаны Wi-Fi на iPhone 7 и baseband в Mate 9 Pro. Суммарно специалисты заработали в первый день состязаний более 350 000 долларов.

Второй день состязания оказался не менее продуктивным. Так, был взломан Google Chrome на Mate 9 Pro, и сразу пять логических багов в приложениях Huawei позволили специалистам MWR Labs реализовать побег из песочницы браузера. Эта же команда продемонстрировала и 11 уязвимостей в составе шести различных приложений, которые затем были использованы для компрометации браузера на Galaxy S8.

Интересно, что компрометация коснулась и новейшей iOS 11.1. Так, представитель Tencent Keen Security Lab продемонстрировал эксплуатацию сразу двух багов. Первая уязвимость позволила специалисту добиться устойчивого присутствия вредоносного приложения в системе, а вторая проблема позволила покинуть песочницу браузера и выполнить вредоносный код. Подробности об эксплоитах и самых уязвимостях пока не раскрываются, так как сначала компании Apple понадобится время на исправление этих проблем.

Одного из приложений здесь быть не должно

Кроме того, специалисты, Qihoo 360 продемонстрировали успешную компрометацию Wi-Fi компонента iPhone 7, однако этот взлом принес команде меньше денег и конкурсных баллов, чем мог бы. Дело в том, что один из трех задействованных для компрометации Wi-Fi эксплоитов до этого задействовал и раскрыл другой конкурсант.

Напомню, что релиз iOS 11.1 состоялся ранее на этой неделе. Обновленная версия устранила уязвимость KRACK и еще 19 проблем с безопасностью.

Источник

Последние новости