iOS、2013年モバイルPwn2Ownで征服されたサムスンギャラクシーS4

Mobile Pwn2Own 2013ハッキングコンテストが本日、PacSec Tokyo 2013で開始されました。競技の初日にiOSとSamsung Galaxy S4がダウンしました。コンテストはHP Zero Day Initiative(ZDI)によって実行されます。

[訂正:このストーリーの以前のバージョンでは、Androidが侵害されたと述べています。 HPは、この悪用はAndroidのものではなく、サムスンのアプリケーションのものだと述べている。

HP Security ResearchのZero Day InitiativeマネージャーであるBrian Gorencは、東アジアの脆弱性研究を正規のサークルに、そして闇市場から持ち出すことを強調しました。 Pwn2Own受賞者は数万ドルを受け取ることができ、彼らは彼らがハックするデバイスを保つようになる。これまで2チームが競争してきた。コンテストはまだ終わっておらず、明日までにさらに結果が出るかもしれません。

最初のチームは中国のKeen Cloud TechのKeenチームでした。 Keenは、iOS 6.1.4と7.0.3で2つのiOSエクスプロイトを実演しました。 iOS 6.1.4では、ユーザーにWebサイトを訪問させることで、攻撃者はブラウザからCookieデータベースを盗むことができました。これから、ユーザーのFacebook資格情報が取得され、別のコンピュータでそれらを使用してログインされました。 iOS 7.0.3の脆弱性は、アクセス許可モデルの欠陥に依存していました。ユーザーがページにアクセスすると、攻撃者は電話から写真を盗むことができました。

どちらの携帯電話もjailbrokenされていません。しかし、キーンはサンドボックスから脱出できなかったので、彼らの賞金は$ 27,500に制限されていました。

2番目のチームは三井物産セキュアディレクション株式会社のチームMBSDでした。チームMBSDは、Samsung Galaxy S4の既定のアプリケーションに対していくつかの脆弱性を実証しました。悪用は一連の脆弱性を利用していました。

ユーザーにWebサイトを表示させることで、彼らの攻撃はシステムレベルのマルウェアをサイレントモードでインストールすることができました。彼らはこのように複数のアプリを妥協することができました。マルウェアはSMSログ、連絡先リスト、ブックマークなどを盗むことができました。

これは特に危険なバグであり、チームMBSDには40,000ドルが授与されました。

革新、?M2M市場がブラジルに戻ってくる、セキュリティー、FBIがCrackasのメンバーを逮捕米政府関係者のハッキングに対する態度、セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促し、ホワイトハウスは連邦最高責任者情報セキュリティ責任者

この脆弱性はApple、Google、Samsungに公開されています。脆弱性が解決されるまでは、ZDIはその脆弱性の詳細を公開していません。

以下のビデオでは、KeenチームがiOSでのSafariの利用について説明します。

M2M市場はブラジルに戻ってくる

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命