14 ноября 2013
Участники Pwn2own взломали защиту Samsung Galaxy S4 и iPhone
Показанные взломщиками уязвимости позволили похитить личные данные пользователей устройств.
Исследователи, принявшие участие на конференции по безопасности PacSec 2013, получили почти 70 тысяч долларов, продемонстрировав методы взлома смартфонов Samsung Galaxy S4 и Apple iPhone на конкурсе Pwn2Own.
Японская команда из компании Mitsui Bussan Secure Directions получила 40 тысяч долларов, продемонстрировав, как можно похитить личные данные со смартфона Samsung Galaxy S4 и установить на него вредоносный программный код, используя уязвимости предустановленного ПО. Для заражения мобильного устройства пользователю нужно было зайти на зараженную web-страницу.
«Последствия этой уязвимости могут быть крайне серьезными. Любой переход по ссылке может стать причиной заражения», - сказала Хизер Гуди (Heather Goudey), старший разработчик средств безопасности компании Hewlett-Packard, одного из спонсоров конкурса.
Кроме того, команда китайской компании Keen Cloud Tech показала, как можно эксплуатировать брешь в системе безопасности iOS 7.0.3 и похитить данные учетной записи Facebook и фотографии с устройства под управлением iOS 6.1.4 без обхода песочницы, получив приз в 27,5 тысяч долларов.
В обоих случаях пользователю уязвимых версий Apple требовалось перейти по зараженной ссылке. Это первая победа китайцев на Pwn2Own, при которой для успешного взлома понадобилось менее 5 минут.
Команда Pwn2Own связалась с производителями устройств и уведомила их о проблемах с безопасностью. Вскоре для проэксплуатированных уязвимостей выйдут исправления.