iOS, 삼성 갤럭시 S4, 모바일 Pwn2Own 2013에서 정복

모바일 Pwn2Own 2013 해킹 경연 대회가 PacSec Tokyo 2013에서 오늘 시작되었습니다. 경쟁 1 일차에 iOS 및 삼성 Galaxy S4가 다운되었습니다. 이 콘테스트는 HP Zero Day Initiative (ZDI)에서 운영합니다.

[정정 :이 기사의 초기 버전은 안드로이드가 훼손되었다고 말했습니다. HP는 악용이 안드로이드가 아니라 삼성 앱에 있다고 주장했다.]

HP Security Research의 Zero Day Initiative 관리자 인 Brian Gorenc은 극동의 취약성 조사를 합법적 인 서클과 암거래 시장으로 가져 오는 것이 가장 중요하다고 강조했습니다. Pwn2Own 수상자는 수만 달러를받을 수 있으며 해킹 장치를 보유하게됩니다. 지금까지 두 팀이 경쟁했습니다. 대회는 아직 끝나지 않았으며 내일까지 추가 결과가있을 수 있습니다.

첫 번째 팀은 중국의 Keen Cloud Tech의 Keen 팀이었습니다. Keen은 iOS 6.1.4 및 7.0.3에서 두 가지 IOS 익스플로잇을 시연했습니다. iOS 6.1.4에서 사용자가 웹 사이트를 방문하게함으로써 공격자는 브라우저에서 쿠키 데이터베이스를 훔칠 수있었습니다. 이로부터 그들은 사용자의 Facebook 자격 증명을 검색하고이를 다른 컴퓨터에서 사용하여 로그인했습니다. iOS 7.0.3은 권한 모델의 결함에 의존했습니다. 사용자가 페이지를 방문하면 공격자는 휴대 전화에서 사진을 도용 할 수있었습니다.

어느 전화도 jailbroken이 아니었다. 그러나 Keen은 샌드 박스에서 탈출 할 수 없었기 때문에 그들의 상금은 $ 27,500로 제한되었습니다.

두 번째 팀은 Mitsui Bussan Secure Directions, Inc.의 Team MBSD였습니다. 팀 MBSD는 삼성 Galaxy S4의 기본 응용 프로그램에 대해 여러 가지 악용 사례를 시연했습니다. 이 익스플로잇은 일련의 취약점을 이용했습니다.

사용자가 웹 사이트를 보도록 유도함으로써 시스템 수준의 멀웨어를 자동으로 설치할 수있었습니다. 그들은 이런 식으로 여러 애플 리케이션을 손상시킬 수있었습니다. 악성 코드는 SMS 로그, 연락처 목록, 북마크 등을 도용 할 수있었습니다.

이것은 특히 위험한 버그이며 MBSD 팀에게는 4 만 달러가 주어졌습니다.

혁신, M2M 시장 침체 브라질, 보안, FBI가 Crackas 회원을 체포하여 미국 공무원 해킹에 대한 태도, 보안, WordPress는 사용자가 중요한 보안 구멍을 고치기 위해 지금 업데이트하도록 촉구 보안, 백악관, 정보 보안 담당자

이 취약점은 Apple, Google 및 Samsung에 공개되었습니다. 취약점이 해결 될 때까지 ZDI는 공개적으로 세부 정보를 공개하지 않습니다.

아래 동영상에서 Keen 팀은 iOS에서 Safari를 사용하는 방법에 대해 설명합니다.

? M2M 시장은 브라질에서 다시 반송

FBI, 미국 정부 관료 해킹에 대한 태도로 Crackas 회원을 체포

WordPress는 사용자가 중요한 보안 취약점을 수정하기 위해 지금 업데이트하도록 촉구합니다.

백악관, 연방 정보 보안 책임자 (Federal Chief Information Security Officer) 선임