IPhone 7 en Samsung Galaxy S8 gehackt tijdens wedstrijd
Tijdens een jaarlijks terugkerende hackwedstrijd in Japan zijn onderzoekers erin geslaagd om de Apple iPhone 7, Samsung Galaxy S8 en Huawei Mate9 Pro te hacken en updates voor deze aanvallen zijn nog niet beschikbaar. Voor het zesde jaar op rij vindt deze week Mobile Pwn2Own plaats.
De door Trend Micro georganiseerde wedstrijd beloont onderzoekers voor het hacken van mobiele toestellen via onbekende kwetsbaarheden. In totaal is er meer dan 500.000 dollar aan prijzengeld beschikbaar voor succesvolle hacks. Het doel van de wedstrijd is om verschillende smartphones via de browser, bluetooth, wifi, nfc, mms, sms of baseband te hacken. De wedstrijdorganisatie heeft in totaal vier smartphones geselecteerd waar onderzoekers mee aan de slag kunnen. Naast de eerder genoemde toestellen gaat het ook om de Google Pixel. De wedstrijd werd eind augustus aangekondigd, voor de lancering van de iPhone 8 in september.
Tijdens de eerste dag van de wedstrijd lukte het onderzoekers van 360 Security om via de Samsung-browser code op de Galaxy S8 uit te voeren. Via een tweede kwetsbaarheid konden ze hun rechten verhogen en zo een herstart van het toestel overleven. De hack werd met 70.000 dollar beloond. Onderzoekers van Tencent Keen Security Lab demonstreerden twee aanvallen tegen de iPhone 7. De eerste aanval werd via wifi uitgevoerd en liet de onderzoekers met verhoogde rechten code op het toestel uitvoeren. In totaal ging het om vier kwetsbaarheden waar de onderzoekers 110.000 dollar voor ontvingen. De tweede aanval maakte gebruik van twee beveiligingslekken in de Safari-browser en system-service van de iPhone 7 om code op het systeem uit te voeren. Deze hack leverde 45.000 dollar op.
Richard Zhu maakte gebruik van twee kwetsbaarheden om code via Safari uit te voeren en uit de sandbox van iOS te breken. De onderzoeker ontving een beloning van 25.000 dollar. Als laatste lieten onderzoekers van Tencent Keen Security Lab zien hoe ze de Huawei Mate9 Pro via de baseband-processor op afstand wisten te hacken. Een zeer ernstig beveiligingslek dat de onderzoekers 100.000 dollar opleverde. Alle kwetsbaarheden zijn aan de betreffende fabrikanten gerapporteerd. Pas na het uitkomen van een update zullen de details bekend worden gemaakt. Geen van de aanwezige onderzoekers probeerde op de eerste dag de Google Pixel te hacken. Morgen vindt de tweede dag van de wedstrijd plaats.
https://en.wikipedia.org/wiki/IPhone_8
https://en.wikipedia.org/wiki/IPhone_X
Er zullen dus ook vast labs / bedrijven / individuen zijn die kwetsbaarheden onderzoeken om vervolgens te verkopen aan overheden / bedrijven die zero days voor veel geld verzamelen?
https://en.wikipedia.org/wiki/IPhone_8
https://en.wikipedia.org/wiki/IPhone_X
Er zullen dus ook vast labs / bedrijven / individuen zijn die kwetsbaarheden onderzoeken om vervolgens te verkopen aan overheden / bedrijven die zero days voor veel geld verzamelen?
Vaak zijn ze langere tijd bezig omdat het soms dagen/weken/maanden kost om zo iets te vinden en er een werkende exploit voor te maken.
En die balen dan na deze wedstrijd dat hun hack inmiddels bekend is. Als ze geluk hebben, hebben de hack inmiddels verkocht en baalt de koper.
https://en.wikipedia.org/wiki/IPhone_8
https://en.wikipedia.org/wiki/IPhone_X
Ja en dan vooral wikipedia quoten.
In de Telegraaf is nog meer waarheid te vinden dan wikipedia.
Geef mij dan maar security.nl.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
