Onderzoekers zijn tijdens een internationale hackwedstrijd in Tokio erin geslaagd om een volledig gepatchte iPhone X ook via de browser te hacken. Gisteren werd al een aanval via wifi gedemonstreerd waardoor er code op het toestel kon worden uitgevoerd. Apple is ingelicht zodat het een beveiligingsupdate kan ontwikkelen. Wanneer deze patch zal verschijnen is nog onbekend.
De afgelopen twee dagen vond in Tokio Pwn2Own plaats, een door het Zero Day Initiative (ZDI) georganiseerde hackwedstrijd. Onderzoekers worden hierbij beloond voor het demonstreren van nieuwe kwetsbaarheden in smartphones en Internet of Things-apparaten. Op de tweede dag toonden onderzoekers van team Fluoroacetate hoe ze via een browseraanval code op de iPhone X konden uitvoeren. Hierdoor was het mogelijk om een eerder verwijderde foto van het toestel te achterhalen. De aanval leverde de onderzoekers 50.000 dollar op.
Vervolgens demonstreerden de onderzoekers een soortgelijke aanval tegen de Xiaomi Mi6. Wederom werd er via de browser een foto van het toestel gehaald. Deze hack werd met 25.000 dollar beloond. Team Fluoroacetate probeerde vervolgens een aanval via baseband tegen de iPhone X te demonstreren. Het ZDI liet weten dat het nog nooit een dergelijke exploit in het openbaar heeft gezien. De onderzoekers kregen de exploit echter niet binnen de gestelde tijd werkzaam.
Onderzoekers van MWR Labs sloten de dag af met een succesvolle browseraanval op de Xiaomi Mi6. Via de aanval werd er stilletjes een app op het toestel geïnstalleerd en konden er foto's van het toestel worden gehaald. Voor de demonstratie ontvingen de onderzoekers 25.000 dollar. Alle kwetsbaarheden die tijdens Pwn2Own zijn gedemonstreerd worden aan de betreffende fabrikanten doorgegeven, zodat die een update kunnen ontwikkelen. Voor het eerst konden onderzoekers tijdens Pwn2Own ook aanvallen tegen Internet of Things-apparaten laten zien, maar dit werd door niemand gedaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.