Tijdens de Mobile Pwn2Own-wedstrijd in Tokio zijn onderzoekers erin geslaagd om de Apple iPhone 5S, Samsung Galaxy S5, LG Nexus 5 en Amazon Fire Phone via geheel nieuwe lekken te hacken. Mobile Pwn2Own is een jaarlijks terugkerende wedstrijd waar de veiligheid van smartphones wordt getest.
De iPhone 5S werd via twee lekken in de Safari browser gehackt. Via één van de kwetsbaarheden slaagden de onderzoekers erin om uit de sandbox van Safari te ontsnappen. De tweede en derde poging waren tegen de Samsung Galaxy S5 gericht. Zowel het Japanse Team MBSD als het Zuid-Afrikaanse MWR InfoSecurity gebruikten NFC als aanvalsvector en slaagden erin om persoonlijke informatie te stelen. Voor de aanval ontvingen beide teams 75.000 dollar.
Beveiligingsonderzoeker Adam Laurie demonstreerde vervolgens een NFC-aanval tegen de LG Nexus 5, waarbij hij twee bugs gebruikte om BlueTooth-pairing tussen telefoons af te dwingen. Voor zijn werk kreeg Laurie 75.000 dollar. Als laatste waren het weer de onderzoekers van MWR InfoSecurity die drie bugs in combinatie met een Man-in-the-Middle-aanval gebruikten om de browser van de Amazon Fire Phone over te nemen. Deze aanval leverde de onderzoekers 50.000 dollar op.
Tijdens de tweede dag van het evenement werd als eerste geprobeerd om de Lumia 1520 Windows Phone te compromitteren. Onderzoeker Nico Joly van het Franse beveiligingsbedrijf VUPEN slaagde erin om de cookiedatabase te stelen, maar kon niet uit de sandbox breken en het systeem overnemen. Ook de aanval van onderzoeker Jüri Aedla tegen een Nexus 5 met Android was slechts gedeeltelijk succesvol. Details over de kwetsbaarheden zullen pas bekend worden gemaakt als de verantwoordelijke fabrikanten ze hebben gepatcht.
Deze posting is gelocked. Reageren is niet meer mogelijk.