Onderzoekers demonstreren iPhone X-jailbreak tijdens wedstrijd
Tijdens de Tianfu Cup in China hebben onderzoekers onbekende kwetsbaarheden in onder andere Google Chrome, Microsoft Edge, Oracle VirtualBox, Adobe Reader, Microsoft Office, Safari en de iPhone X gedemonstreerd. Ook lieten onderzoekers tijdens de hackwedstrijd een jailbreak van de iPhone X zien.
Via een jailbreak is het mogelijk om beperkingen van Apple te omzeilen en bijvoorbeeld applicaties van buiten de Apple App Store te installeren. Volgens de organisatie van de Tianfu Cup is het voor het eerst dat er een jailbreak tijdens een hackwedstrijd wordt gedemonstreerd. Details over de kwetsbaarheden zijn niet vrijgegeven. Alle leveranciers worden ingelicht zodat ze een beveiligingsupdate kunnen ontwikkelen.
De Tianfu Cup is de Chinese tegenhanger van Pwn2Own, een andere wedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden. Tijdens het evenement dat vorige week in Chengdu plaatsvond was er een prijzengeld van iets meer dan 1 miljoen dollar, dat ook volledig werd uitgekeerd.
De hoogste beloning van 200.000 dollar was voor onderzoekers van 360 Security die een jailbreak van de iPhone X demonstreerden. De aanval werd via een kwetsbaarheid in Safari uitgevoerd en maakte ook gebruik van een beveiligingslek in de iOS-kernel. Verder lieten onderzoekers kwetsbaarheden in Google Chrome en Microsoft Edge zien waardoor het mogelijk is om op afstand code uit te voeren.
Volgens de organisatie is er ook voor het eerst tijdens een hackwedstrijd een succesvolle aanval op Microsoft Office gedemonstreerd. Naast de iPhone X lieten onderzoekers ook aanvallen tegen de OPPO R17-, Vivo x23- en Xiaomi Mi8-smartphones zien. Elf van de dertien doelwitten waar onderzoekers zich op konden richten zijn tijdens het evenement gecompromitteerd. Alleen tegen Mozilla Firefox en Microsoft Remote Desktop werden geen aanvallen gedemonstreerd.
Voor hun demonstraties maakten de onderzoekers gebruik van 30 onbekende kwetsbaarheden. In totaal werd er 1.024.000 dollar aan prijzengeld uitgekeerd. Alle betrokken partijen zijn over de beveiligingslekken geïnformeerd. Wanneer er beveiligingsupdates zullen verschijnen is nog niet bekend.
Het primaire idee van een website is toch informatie overdracht naar de gebruiker?
Het omgekeerde?
Werkelijk?
Maar als dat zo is dan is dat niet voldoende, de functies in het Office product zelf bieden al decennia lang voldoende functionaliteit die misbruikt blijven worden.
Iets met embedden en activeervraagjes.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
