Хакери можуть вкрасти ваші файли cookie, але Windows Phone здебільшого виживає Mobile Pwn2Own 2014, тоді як iOS і Android падають
2 хв. читати
Опубліковано
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
Зараз триває щорічний конкурс Pwn2Own (з призами до 150,000 5 доларів США), у якому iPhone 5S, Samsung Galaxy S5, LG Nexus XNUMX і Amazon Fire Phone повністю віддали хакерам контроль. Часткову перемогу здобув Windows Phone (або поразка), зумівши зберегти решту ОС у безпеці, віддавши файли cookie вашого браузера хакеру.
Дослідник безпеки Ніко Джолі, який раніше виграв весняний конкурс Pwn2Own у Ванкувері як частина команди VUPEN, атакував браузер Nokia Lumia 1520 і зміг успішно викрасти базу даних cookie; однак пісочниця витримала, і він не зміг отримати повний контроль над системою.
День до іншим телефонам не пощастило:
- IPhone 5S було виведено з ладу в результаті атаки з двома помилками, одній з яких вдалося виконати повний вихід із пісочниці в браузері Safari.
- Хакери використовували Зв'язок ближнього поля (NFC) функціональність для запуску експлойту десеріалізації в Samsung Galaxy S5. Окрема команда також зловживала NFC, щоб використати логічну помилку, також присутню в S5, довівши загальну кількість успішних злому смартфона до двох.
- І все ж третій злом із залученням NFC зламав LG Nexus 5, примусово створивши пару між телефонами по Bluetooth.
- Атака з трьома різними помилками успішно захопила веб-браузер Amazon Fire Phone.
Хоча Windows Phone вижив, він був лише проти одного зловмисника, і, звичайно, втрата ваших файлів cookie не без наслідків, включаючи можливість робити покупки в один клік на Amazon, наприклад.
Проте ця ОС має хорошу репутацію безпеки, і щорічний конкурс нічого не дасть, якщо він не доведе, що непереможної операційної системи не існує, незалежно від того, що говорять Apple і Samsung.
Усі знайдені вразливості негайно повідомляються розробникам ОС (у даному випадку Microsoft), тож, сподіваюся, ця діра незабаром також буде виправлена.
Через Арс Technica