Tijdens een jaarlijks terugkerende hackwedstrijd in Japan zijn onderzoekers erin geslaagd om de Apple iPhone 7, Samsung Galaxy S8 en Huawei Mate9 Pro te hacken en updates voor deze aanvallen zijn nog niet beschikbaar. Voor het zesde jaar op rij vindt deze week Mobile Pwn2Own plaats.
De door Trend Micro georganiseerde wedstrijd beloont onderzoekers voor het hacken van mobiele toestellen via onbekende kwetsbaarheden. In totaal is er meer dan 500.000 dollar aan prijzengeld beschikbaar voor succesvolle hacks. Het doel van de wedstrijd is om verschillende smartphones via de browser, bluetooth, wifi, nfc, mms, sms of baseband te hacken. De wedstrijdorganisatie heeft in totaal vier smartphones geselecteerd waar onderzoekers mee aan de slag kunnen. Naast de eerder genoemde toestellen gaat het ook om de Google Pixel. De wedstrijd werd eind augustus aangekondigd, voor de lancering van de iPhone 8 in september.
Tijdens de eerste dag van de wedstrijd lukte het onderzoekers van 360 Security om via de Samsung-browser code op de Galaxy S8 uit te voeren. Via een tweede kwetsbaarheid konden ze hun rechten verhogen en zo een herstart van het toestel overleven. De hack werd met 70.000 dollar beloond. Onderzoekers van Tencent Keen Security Lab demonstreerden twee aanvallen tegen de iPhone 7. De eerste aanval werd via wifi uitgevoerd en liet de onderzoekers met verhoogde rechten code op het toestel uitvoeren. In totaal ging het om vier kwetsbaarheden waar de onderzoekers 110.000 dollar voor ontvingen. De tweede aanval maakte gebruik van twee beveiligingslekken in de Safari-browser en system-service van de iPhone 7 om code op het systeem uit te voeren. Deze hack leverde 45.000 dollar op.
Richard Zhu maakte gebruik van twee kwetsbaarheden om code via Safari uit te voeren en uit de sandbox van iOS te breken. De onderzoeker ontving een beloning van 25.000 dollar. Als laatste lieten onderzoekers van Tencent Keen Security Lab zien hoe ze de Huawei Mate9 Pro via de baseband-processor op afstand wisten te hacken. Een zeer ernstig beveiligingslek dat de onderzoekers 100.000 dollar opleverde. Alle kwetsbaarheden zijn aan de betreffende fabrikanten gerapporteerd. Pas na het uitkomen van een update zullen de details bekend worden gemaakt. Geen van de aanwezige onderzoekers probeerde op de eerste dag de Google Pixel te hacken. Morgen vindt de tweede dag van de wedstrijd plaats.
Deze posting is gelocked. Reageren is niet meer mogelijk.