image

Onderzoekers demonstreren iPhone X-jailbreak tijdens wedstrijd

maandag 19 november 2018, 14:46 door Redactie, 2 reacties

Tijdens de Tianfu Cup in China hebben onderzoekers onbekende kwetsbaarheden in onder andere Google Chrome, Microsoft Edge, Oracle VirtualBox, Adobe Reader, Microsoft Office, Safari en de iPhone X gedemonstreerd. Ook lieten onderzoekers tijdens de hackwedstrijd een jailbreak van de iPhone X zien.

Via een jailbreak is het mogelijk om beperkingen van Apple te omzeilen en bijvoorbeeld applicaties van buiten de Apple App Store te installeren. Volgens de organisatie van de Tianfu Cup is het voor het eerst dat er een jailbreak tijdens een hackwedstrijd wordt gedemonstreerd. Details over de kwetsbaarheden zijn niet vrijgegeven. Alle leveranciers worden ingelicht zodat ze een beveiligingsupdate kunnen ontwikkelen.

De Tianfu Cup is de Chinese tegenhanger van Pwn2Own, een andere wedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden. Tijdens het evenement dat vorige week in Chengdu plaatsvond was er een prijzengeld van iets meer dan 1 miljoen dollar, dat ook volledig werd uitgekeerd.

De hoogste beloning van 200.000 dollar was voor onderzoekers van 360 Security die een jailbreak van de iPhone X demonstreerden. De aanval werd via een kwetsbaarheid in Safari uitgevoerd en maakte ook gebruik van een beveiligingslek in de iOS-kernel. Verder lieten onderzoekers kwetsbaarheden in Google Chrome en Microsoft Edge zien waardoor het mogelijk is om op afstand code uit te voeren.

Volgens de organisatie is er ook voor het eerst tijdens een hackwedstrijd een succesvolle aanval op Microsoft Office gedemonstreerd. Naast de iPhone X lieten onderzoekers ook aanvallen tegen de OPPO R17-, Vivo x23- en Xiaomi Mi8-smartphones zien. Elf van de dertien doelwitten waar onderzoekers zich op konden richten zijn tijdens het evenement gecompromitteerd. Alleen tegen Mozilla Firefox en Microsoft Remote Desktop werden geen aanvallen gedemonstreerd.

Voor hun demonstraties maakten de onderzoekers gebruik van 30 onbekende kwetsbaarheden. In totaal werd er 1.024.000 dollar aan prijzengeld uitgekeerd. Alle betrokken partijen zijn over de beveiligingslekken geïnformeerd. Wanneer er beveiligingsupdates zullen verschijnen is nog niet bekend.

Image

Reacties (2)
19-11-2018, 15:37 door Anoniem
Een website die totaal niet werkt zonder javascript
We're sorry but tianfubei doesn't work properly without JavaScript enabled. Please enable it to continue.
en proxies blokkeert, wat zou daar nou het belang van kunnen zijn?

Het primaire idee van een website is toch informatie overdracht naar de gebruiker?
Het omgekeerde?
19-11-2018, 17:04 door Anoniem
Volgens de organisatie is er ook voor het eerst tijdens een hackwedstrijd een succesvolle aanval op Microsoft Office gedemonstreerd.

Werkelijk?
Maar als dat zo is dan is dat niet voldoende, de functies in het Office product zelf bieden al decennia lang voldoende functionaliteit die misbruikt blijven worden.
Iets met embedden en activeervraagjes.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.