» »

Prvi dan Mobile Pwn2Own vsi telefoni padli kot zrele hruške

Prvi dan Mobile Pwn2Own vsi telefoni padli kot zrele hruške

Slo-Tech - Za nami je prvi dan dvodnevnega tekmovanja Mobile Pwn2Own, ki poteka v okviru konference PanSec v Tokiu. Za razliko od klasičnega Pwn2Owna so tu tarče telefoni, katerih zaščito poizkušajo prijavljeni tekmovalci zlomiti. Prvi dan je bil njihov izkupiček stoodstoten.

Mobile Pwn2Own tako kot izvirno verzijo organizira Zero Day Initiative, ki je v lasti Hewlett-Packarda. Letošnja sponzorja sta Google in BlackBerry, ki sta prispevala za 450.000 dolarjev nagrad. Tekmovalci se merijo v več kategorijah.

Prvi dan so bili na tapeti iPhone 5S, Samsung Galaxy S5, LG Nexus 5 in Amazon Fire Phone. Pet ekip se je lotilo štirih tarč in jih tudi zlomilo, pri čemer so našli devet hroščev. Korejska ekipa lokihardt@ASRT je uspela izkoristiti dva hrošča in pridobiti nadzor nad iPhonom ter uiti iz Safarijevega peskovnika in pognati poljubno aplikacijo. Japonski MBSD je uporabil NFC in zlomil Galaxy S5. Prav tako Galaxy S5 prek drugega hrošča v NFC so razbili tudi Južnoafričani MWR InfoSecurity. LG-jev Nexus 5 je padel pod prsti britanskega Aperture Labs zaradi ranljivosti v NFC-ju. Za nameček so Južnoafrčan še enkrat izrabili tri hrošče v Amazonovem telefonu.

Drugi dan tekmovanja bodo na sporedu še napadi na Windows Phone in Android. Zelo zgovorno je dejstvo, da je bilo nesorazmerno veliko napadov prek NFC. V kategoriji napada iz bližine so bili namreč na voljo tudi Bluetooth in Wi-Fi, a so tekmovalci raje izbirali NFC. Očitno je tehnologija še zelo luknjasta. Ostale kategorije so še napad iz brskalnika, napad s sporočilom in prek omrežja (baseband).

23 komentarjev

johanblond ::

Zelo zgovorno je dejstvo, da je bilo nesorazmerno veliko napadov prek NFC. V kategoriji napada iz bližine so bili namreč na voljo tudi Bluetooth in Wi-Fi, a so tekmovalci raje izbirali NFC. Očitno je tehnologija še zelo luknjasta.

A je možno, da so se vsi sfokusiral na NFC, ker vsi vidijo "potencial" pri mobilnih plačilih.

Apple ::

Upam, da jo bo WP dobr odnesel :D
LP, Apple

vostok_1 ::

Zaupat komercialnim firmam gle de varnosti ne gre. One naredijo lih toliko varno kot je minimalno možno oz. lepo za vidt. Hence...izogibajte se cloud-om...še posebej nekriptiranim.

Redorange ::

Kaj pa Ubuntu, al ni še zunaj (ne vem prašam)

poweroff ::

Ubuntu phone so dali na hladno.
sudo poweroff

AndrejO ::

Kot vzporedna zanimivost:

KitKat je NFC avtomatično izključil, če je bil zaklenjen ali pa se je zaslon uglasnil. Razlog je bila varnost za vsak primer, saj je bilo s tem NFC (vsaj v ZDA) možno neposredno plačevati. Tako ni bilo praktične možnosti, da bi kdo zlorabil zaklenjen aparat.

Lollipop privzeto omogoča, da se ga (med drugim) odklene z uporabo NFC značke. Razlog je, nepresenetljivo, želja uporabnikov po večji praktičnosti in pritožbe zaradi načina delovanja KitKat.

Glej ga zlomka, mar ne?

njyngs ::

Kje pa piše da je bila zadeva najdena na Lollipop?

Looooooka ::

KOkr jst berem ni problem v "NFC"-ju ampak v aplikaciji in implementaciji.
As in...zadeva je zgleda vključena oziroma KO je vključena sprejema datoteke, ki jih potem odpira z nekim viewerjem. Napaka je v viewerju, ki potem odpre datoteko in ka-blam.
Pa da vidimo če ma implementacija na Androidu in Windows Phonu tud tok pravic, da maš ob kablamu dostop do vsega :)

AndrejO ::

njyngs je izjavil:

Kje pa piše da je bila zadeva najdena na Lollipop?


Nikjer in zelo, zelo malo verjetno, da bi imel kateri izmed primerkov Lollipop.

Zgodovina sprememb…

  • spremenil: AndrejO ()

boolsheat ::

WPja se je lotil en tip iz VUPEN-a pa ga ni uspel hekniti:
http://h30499.www3.hp.com/t5/HP-Securit...

Motion ::

Apple je izjavil:

Upam, da jo bo WP dobr odnesel :D

In zgleda da jo je odnesu relativno ok.
http://arstechnica.com/security/2014/11...

Markoff ::

vostok_1 je izjavil:

Zaupat komercialnim firmam gle de varnosti ne gre. One naredijo lih toliko varno kot je minimalno možno oz. lepo za vidt. Hence...izogibajte se cloud-om...še posebej nekriptiranim.

Heh, "nekomercialne firme" tipa NSA, KGB, Mi5, SOVA, te so pa super zanesljive in s cloud-i komercialnih firm nimajo nič, ne?

Ta članek me samo utrjuje v stališču, da cigu, imenovan telefon, še ni primeren za to, da z njim izvajaš vse, od plačevanja do brisanja riti. Morda niti nikoli ne bo. Integrirane naprave so z vidika varnosti uporabnika in njegove zasebnosti / osebnih podatkov hudo tveganje.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

Zgodovina sprememb…

  • spremenilo: Markoff ()

johanblond ::

Markoff je izjavil:

vostok_1 je izjavil:

Zaupat komercialnim firmam gle de varnosti ne gre. One naredijo lih toliko varno kot je minimalno možno oz. lepo za vidt. Hence...izogibajte se cloud-om...še posebej nekriptiranim.

Heh, "nekomercialne firme" tipa NSA, KGB, Mi5, SOVA, te so pa super zanesljive in s cloud-i komercialnih firm nimajo nič, ne?

Malo off, pa vseeno

Temu se pa reče nacionalna zavest / domoljubje. Kar se tiče odebeljenega v tekstu, da se uporablja v istem stavku z ostalimi :) :) :D

poweroff ::

Markoff je izjavil:

Morda niti nikoli ne bo. Integrirane naprave so z vidika varnosti uporabnika in njegove zasebnosti / osebnih podatkov hudo tveganje.

Da: https://pravokator.si/index.php/2014/06...
sudo poweroff

SeMiNeSanja ::

poweroff je izjavil:

Markoff je izjavil:

Morda niti nikoli ne bo. Integrirane naprave so z vidika varnosti uporabnika in njegove zasebnosti / osebnih podatkov hudo tveganje.

Da: https://pravokator.si/index.php/2014/06...

Ampak največja nevarnost, je pa na koncu še vedno uporabnik sam.

RejZoR ::

BT izklopljen (old and slow), WiFi izklopljen (who needs that with 4G), NFC-ja ne rabim in je isto izklopljen. Hack that bitches...
Angry Sheep Blog @ www.rejzor.com

SimplyMiha ::

RejZoR je izjavil:

BT izklopljen (old and slow), WiFi izklopljen (who needs that with 4G), NFC-ja ne rabim in je isto izklopljen. Hack that bitches...



How Hackers Tapped Into My Cellphone For Less Than $300

Zgodovina sprememb…

RejZoR ::

Tud kličem bolj malo in sporočila redko pošiljam. Smartphone imam skor izključno za net in maile. HTTPS. Next?
Angry Sheep Blog @ www.rejzor.com

Looooooka ::

Hack s katerim so vdrli v telefone preko NFC-ja bi po vsej verjetnosti deloval tudi prek maila in neta(ker bi ga verjetno na koncu odprl isti program).
NFC so zbrali, ker je pač relativno nov način komuniciranja :)

sandi203 ::

poweroff je izjavil:

Ubuntu phone so dali na hladno.

Malenkost bolj komplicirano... Malo morda mešaš Ubuntu Edge in Ubuntu Touch.

Ubuntu Edge -> Ideja, da bi zbrali denar in naredili poseben telefon Ubuntu Phone. Padlo v vodo, ker ni bilo zbranega dovolj denarja.
http://www.techweekeurope.co.uk/news/ub...

Ubuntu Touch -> Ubuntu operacijski sistem za "običajne" telefone (torej telefone velikih proizvajalcev npr. LG, Samsung...). Pride ven konec decembra letos!
http://www.pcworld.com/article/2687847/...

Ubuntu Touch bo uporabljal Ubuntu Unity 8. Na namizju se trenutno uporablja Ubuntu Unity 7. Unity 8 je prva v ideji narediti eden! operacijski sistem za vse vrte računalništva: na namizju, mobilnih napravah!, strežnikih, oblaku itd. Torej bodo Ubuntu Unity 8 (ki bo najprej za telefone) potem prilagodili še ostale npr. na namizju. Cilj te konvergence je april 2016. Osnovna ideja pa je, da boš isto aplikacijo lahko zagnal na telefonu in na namiznem računalniku. Operacijski sistem bo zaznal ali aplikacijo zaganjaš na namizju ali telefonu in ustrezno temu prilagodil velikost ekranske slike programa, velikost gumbov itd.

AndrejO ::

Looooooka je izjavil:


NFC so zbrali, ker je pač relativno nov način komuniciranja :)

Zanimivo mi je, da na Androidu "onemogočen" očitno ne pomeni, da je dejansko neaktiven in, da se ga da "oživeti" tudi takrat, ko uporabnik tega ne pričakuje.

V prihajajoči verziji pa je pri Androdiu že "omogočen", kar ga naredi za še bolj privlačno tarčo za krajo podatkov. Telefoni (vsaj v ZDA) postajajo plačilno sredstvo in imeti takšna brezkontaktna vrata v "plačilno sredstvo" mi zveni kot uresničenje sanj tovrstnih kriminalcev.

sandi203 ::

Pa še tole kar se tiče Ubuntu Touch, da je resnično živ projekt in da bo ravnokar izšel na telefonih. Novica od včeraj: Canonical is very close to finishing the Ubuntu Touch operating system and to making it shippable for phones: http://news.softpedia.com/news/Canonica...

Zgodovina sprememb…

  • spremenilo: sandi203 ()

RejZoR ::

Kakšna pa je sploh realna uporaba NFC tagov? Sem dobil dva zraven telefona, pa mi nekako ni jasno za kaj bi ju porabil. Videl sem da lahko preklaplja profile na podlagi bližine taga, ampak kakšna pa je ta razdalja? Oz koliko sploh kuri NFC baterije, če je sploh vredno imet to vklopljeno...
Angry Sheep Blog @ www.rejzor.com


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Na Pwn2Own padla večina programske opreme

Oddelek: Novice / Varnost
2211190 (8626) crniangeo
»

Po drugem dnevu na Pwn2Own vzdržal le Windows Phone

Oddelek: Novice / Varnost
149667 (7476) AndrejO
»

Prvi dan Mobile Pwn2Own vsi telefoni padli kot zrele hruške

Oddelek: Novice / Varnost
2312223 (9524) RejZoR
»

Na letošnjem Pwn2Own največkrat zlomljen Firefox

Oddelek: Novice / Varnost
208963 (6558) kronik
»

Prvi dan Pwn2Own 2013 zlomljeni Chrome, Firefox, IE10 in Java

Oddelek: Novice / Varnost
137857 (5764) MrStein

Več podobnih tem