Οι ερευνητές που συμμετέχουν στη διάσκεψη για την ασφάλεια PacSec 2013 στην Ιαπωνία κέρδισαν σχεδόν 70 χιλιάδες δολάρια αφού κατάφεραν να παραβιάσουν την ασφάλεια συσκευών iPhone και Samsung Galaxy S4. Η επίδειξη έγινε στο πλαίσιο του διαγωνισμού Pwn2Own.
Μια ιαπωνική ομάδα από την Mitsui Bussan Secure Directions κέρδισε 40.000 δολάρια με την επίδειξη μιας ευπάθειας που τους επέτρεψε να κλέψουν ευαίσθητα δεδομένα από ένα Samsung Galaxy S4 και να εγκαταστήσουν κακόβουλο κώδικα στο λογισμικό της συσκευής. Η μέθοδος επίθεσης απαιτεί από τον ιδιοκτήτη της συσκευής να επισκεφτεί μια ειδικά διαμορφωμένη ιστοσελίδα..
“Οι επιπτώσεις από αυτή την ευπάθεια είναι ανησυχητικές. Ενώ μπορεί να είναι επιφυλακτικοί (οι χρήστες) όταν κάνουν κλικ σε συνδέσμους στον υπολογιστή τους είναι απίθανο να αξιολογήσουν τον κίνδυνο στις κινητές συσκευές,” ανέφερε ο Heather Goude , ανώτερος προγραμματιστής περιεχόμενου ασφαλείας της HP, που ήταν συν- χορηγός της διάσκεψης.
Εν τω μεταξύ, οκτώ άτομα της ομάδας Keen Tech Cloud από την Κίνα έδειξαν πώς μπορεί κάποιος να εκμεταλλευτεί μια ευπάθεια στην έκδοση iOS 7.0.3 και να κλέψει τα διαπιστευτήρια σύνδεσης του Facebook, ένα κερδίζοντας χρηματικό έπαθλο αξίας 27.500 δολαρίων. Η επίθεση κατάφερε να παρακάμψει το sandboxing της Apple , αλλιώς θα έχουν κερδίσει πολλά περισσότερα.
Μπορείτε να δείτε το βίντεο με την επίθεση.
Όπως και στην πρώτη περίπτωση, το hacking της iOS απαιτεί από τον χρήστη να κάνει κλικ σε μια συγκεκριμένη σύνδεση, αλλά αυτό δεν είναι κάτι το δύσκολο. Είναι η πρώτη φορά που μια κινεζική ομάδα κερδίζει στο Pwn2Own με μια επίθεση που χρειάστηκε λιγότερο από πέντε λεπτά για να ολοκληρωθεί .
