Nieuws

IPhone 7 en Samsung Galaxy S8 gehackt tijdens wedstrijd

woensdag 1 november 2017, 13:35 door Redactie, 6 reacties

Laatst bijgewerkt: 01-11-2017, 15:01

Tijdens een jaarlijks terugkerende hackwedstrijd in Japan zijn onderzoekers erin geslaagd om de Apple iPhone 7, Samsung Galaxy S8 en Huawei Mate9 Pro te hacken en updates voor deze aanvallen zijn nog niet beschikbaar. Voor het zesde jaar op rij vindt deze week Mobile Pwn2Own plaats.

De door Trend Micro georganiseerde wedstrijd beloont onderzoekers voor het hacken van mobiele toestellen via onbekende kwetsbaarheden. In totaal is er meer dan 500.000 dollar aan prijzengeld beschikbaar voor succesvolle hacks. Het doel van de wedstrijd is om verschillende smartphones via de browser, bluetooth, wifi, nfc, mms, sms of baseband te hacken. De wedstrijdorganisatie heeft in totaal vier smartphones geselecteerd waar onderzoekers mee aan de slag kunnen. Naast de eerder genoemde toestellen gaat het ook om de Google Pixel. De wedstrijd werd eind augustus aangekondigd, voor de lancering van de iPhone 8 in september.

Tijdens de eerste dag van de wedstrijd lukte het onderzoekers van 360 Security om via de Samsung-browser code op de Galaxy S8 uit te voeren. Via een tweede kwetsbaarheid konden ze hun rechten verhogen en zo een herstart van het toestel overleven. De hack werd met 70.000 dollar beloond. Onderzoekers van Tencent Keen Security Lab demonstreerden twee aanvallen tegen de iPhone 7. De eerste aanval werd via wifi uitgevoerd en liet de onderzoekers met verhoogde rechten code op het toestel uitvoeren. In totaal ging het om vier kwetsbaarheden waar de onderzoekers 110.000 dollar voor ontvingen. De tweede aanval maakte gebruik van twee beveiligingslekken in de Safari-browser en system-service van de iPhone 7 om code op het systeem uit te voeren. Deze hack leverde 45.000 dollar op.

Richard Zhu maakte gebruik van twee kwetsbaarheden om code via Safari uit te voeren en uit de sandbox van iOS te breken. De onderzoeker ontving een beloning van 25.000 dollar. Als laatste lieten onderzoekers van Tencent Keen Security Lab zien hoe ze de Huawei Mate9 Pro via de baseband-processor op afstand wisten te hacken. Een zeer ernstig beveiligingslek dat de onderzoekers 100.000 dollar opleverde. Alle kwetsbaarheden zijn aan de betreffende fabrikanten gerapporteerd. Pas na het uitkomen van een update zullen de details bekend worden gemaakt. Geen van de aanwezige onderzoekers probeerde op de eerste dag de Google Pixel te hacken. Morgen vindt de tweede dag van de wedstrijd plaats.

Mozilla: Verlies van privacy grootste angst bij Internet of Things

Onderzoekers vinden kwetsbaarheden in Disney-netwerkmonitor

Reacties (6)

01-11-2017, 14:50 door Anoniem

Voor wie alleen security.nl leest

https://en.wikipedia.org/wiki/IPhone_8
https://en.wikipedia.org/wiki/IPhone_X

01-11-2017, 15:18 door Anoniem

Starten de onderzoekers met pogingen tot hacken op locatie, of zijn ze al langere tijd bezig in hun lab en demonstreren ze het vervolgens daar?
Er zullen dus ook vast labs / bedrijven / individuen zijn die kwetsbaarheden onderzoeken om vervolgens te verkopen aan overheden / bedrijven die zero days voor veel geld verzamelen?

01-11-2017, 16:14 door Anoniem

Door Anoniem: Voor wie alleen security.nl leest

https://en.wikipedia.org/wiki/IPhone_8
https://en.wikipedia.org/wiki/IPhone_X

Wat moeten we met deze links? Wat wil je met de links toevoegen aan het artikel? Of wil je een discussie aan gaan?

01-11-2017, 17:28 door Anoniem

Door Anoniem: Starten de onderzoekers met pogingen tot hacken op locatie, of zijn ze al langere tijd bezig in hun lab en demonstreren ze het vervolgens daar?
Er zullen dus ook vast labs / bedrijven / individuen zijn die kwetsbaarheden onderzoeken om vervolgens te verkopen aan overheden / bedrijven die zero days voor veel geld verzamelen?

Vaak zijn ze langere tijd bezig omdat het soms dagen/weken/maanden kost om zo iets te vinden en er een werkende exploit voor te maken.

01-11-2017, 18:19 door Briolet

Door Anoniem:Er zullen dus ook vast labs / bedrijven / individuen zijn die kwetsbaarheden onderzoeken om vervolgens te verkopen aan overheden / bedrijven die zero days voor veel geld verzamelen?

En die balen dan na deze wedstrijd dat hun hack inmiddels bekend is. Als ze geluk hebben, hebben de hack inmiddels verkocht en baalt de koper.

01-11-2017, 21:33 door Anoniem

Door Anoniem: Voor wie alleen security.nl leest

https://en.wikipedia.org/wiki/IPhone_8
https://en.wikipedia.org/wiki/IPhone_X

Ja en dan vooral wikipedia quoten.
In de Telegraaf is nog meer waarheid te vinden dan wikipedia.
Geef mij dan maar security.nl.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer