ハッカーはあなたのクッキーを盗むことができますが、iOSとAndroidが落ちる間、WindowsPhoneはほとんどMobilePwn2Own2014を生き残ります

毎年恒例のPwn2Ownコンテスト（賞金は$ 150,000）が現在実行されており、iPhone 5S、Samsung Galaxy S5、LG Nexus 5、Amazon FirePhoneがすべてハッカーに完全な制御を放棄したコンテストで WindowsPhoneは部分的に勝利しました （または敗北）、ブラウザのCookieをハッカーに譲りながら、OSの残りの部分を安全に保つことができます。

以前にVUPENチームの一部としてバンクーバーで開催されたSpringPwn2Ownコンテストで優勝したセキュリティ研究者のNicoJolyは、Nokia Lumia 1520ブラウザを攻撃し、Cookieデータベースを盗み出すことに成功しました。 しかし、サンドボックスが保持され、彼はシステムを完全に制御することができませんでした。

前日 他の受話器はそれほど幸運ではありませんでした：

• iPhone 5Sは、XNUMXつのバグによる攻撃によって停止されました。そのうちのXNUMXつは、Safariブラウザで完全なサンドボックスエスケープを実行することができました。
• 使用したハッカー 近距離無線通信（NFC） サムスンギャラクシーS5で逆シリアル化エクスプロイトをトリガーする機能。 別のチームもNFCを悪用して、S5にも存在する論理エラーを悪用し、スマートフォンのハッキングの成功総数をXNUMXつにしました。
• しかし、NFCを含む5番目のハックは、電話間のBluetoothペアリングを強制することにより、LG NexusXNUMXをダウンさせました。
• XNUMXつの別々のバグを使用した攻撃により、Amazon FirePhoneのWebブラウザが正常に制御されました。

Windows Phoneは存続しましたが、攻撃者はXNUMX人だけでした。もちろん、Cookieを失うことは、たとえばAmazonでワンクリックで購入できるなどの結果がないわけではありません。

ただし、OSはセキュリティに関して高い評価を得ており、AppleやSamsungが何を言おうと、無敵のオペレーティングシステムなどがないことを証明しなければ、毎年のコンテストは何もしません。

見つかったすべての脆弱性はすぐにOS作成者（この場合はMicrosoft）に開示されるため、この穴にもすぐにパッチが適用されることを願っています。

アルス経由 テクニカ