sâmbătă, 22 septembrie 2012

iPhone 4S şi Galaxy S3, compromise într-o competiţie de hacking


Două echipe de experţi în securitate, formate din olandezi şi britanici, au oferit câteva surprize la o conferinţă de securitate EuSecWest, ţinută acum câteva zile la Amsterdam. În calitate de participanţi la un concurs mobilePwn2Own, aceştia au reuşit să ocolească barierele de securitate a două telefoane iPhone 4S şi Galaxy S3, în ciuda faptului că exemplarele au fost actualizate în prealabil cu cele mai noi versiuni software şi patch-uri de securitate.
iPhone 4S şi tabletele iPad sunt vulnerabile în faţa atacurilor desfăşurate de hackeriiPhone 4S şi tabletele iPad sunt vulnerabile în faţa atacurilor desfăşurate de hackeri

Joost Pol, în calitate de reprezentant al companiei olandeze de cercetare Certified Secure, ajutat de colegul său Daan Keuper, a creat un exploit ce permite furtul informaţiilor conţinute în adress book, colecţia de poze şi secvenţe video filmate cu camera foto şi inspectarea istoricului de navigare. Telefonul în cauză este un iPhone 4S  actualizat cu cele mai noi versiuni software, inclusiv noul iOS6, fapt ce poate avea implicaţii şi pentru iPhone 5, deoarece sofware-ul instalat pe acesta este în mare parte acelaşi. Datorită diferenţelor mici între componentele software utilizate, acelaşi exploit poate funcţiona şi cu tabletele din seria iPad, sau chiar playere iPod Touch.
Samsung Galaxy S3Samsung Galaxy S3

În paralel, o echipă britanică aparţinând companiei de securitate MWR Labs, s-a folosit de conectivitatea NFC a telefonului Samsung Galaxy S3 pentru a trimite un fişier infectat, ce exploatează o vulnerabilitate prezentă în programul de vizualizare a documentelor inclus cu versiunea Android 4.0.4 . Folosind o a doua vulnerabilitate necunoscută până în acel moment, exploit-ul a oferit acces nerestricţionat la informaţiile stocate în memoria telefonului. Aparent, în loc de conexiune NFC atacatorii pot apela şi la trimiterea de mesaje email infectate, sau păcălirea utilizatorului în a accesa o adresă URL ce duce la descărcarea fişierului infectat.
Pentru abilităţile demonstrate şi expunerea modalităţilor prin care şi-au dus la bun sfârşit atacurile, ambele echipe vor primi câte o recompensă în valoare de 30000 dolari.

Niciun comentariu:

Trimiteți un comentariu