Slo-Tech - Za nami je prvi dan dvodnevnega tekmovanja Mobile Pwn2Own, ki poteka v okviru konference PanSec v Tokiu. Za razliko od klasičnega Pwn2Owna so tu tarče telefoni, katerih zaščito poizkušajo prijavljeni tekmovalci zlomiti. Prvi dan je bil njihov izkupiček stoodstoten.
Mobile Pwn2Own tako kot izvirno verzijo organizira Zero Day Initiative, ki je v lasti Hewlett-Packarda. Letošnja sponzorja sta Google in BlackBerry, ki sta prispevala za 450.000 dolarjev nagrad. Tekmovalci se merijo v več kategorijah.
Prvi dan so bili na tapeti iPhone 5S, Samsung Galaxy S5, LG Nexus 5 in Amazon Fire Phone. Pet ekip se je lotilo štirih tarč in jih tudi zlomilo, pri čemer so našli devet hroščev. Korejska ekipa lokihardt@ASRT je uspela izkoristiti dva hrošča in pridobiti nadzor nad iPhonom ter uiti iz Safarijevega peskovnika in pognati poljubno aplikacijo. Japonski MBSD je uporabil NFC in zlomil Galaxy S5. Prav tako Galaxy S5 prek drugega hrošča v NFC so razbili tudi Južnoafričani MWR InfoSecurity. LG-jev Nexus 5 je padel pod prsti britanskega Aperture Labs zaradi ranljivosti v NFC-ju. Za nameček so Južnoafrčan še enkrat izrabili tri hrošče v Amazonovem telefonu.
Drugi dan tekmovanja bodo na sporedu še napadi na Windows Phone in Android. Zelo zgovorno je dejstvo, da je bilo nesorazmerno veliko napadov prek NFC. V kategoriji napada iz bližine so bili namreč na voljo tudi Bluetooth in Wi-Fi, a so tekmovalci raje izbirali NFC. Očitno je tehnologija še zelo luknjasta. Ostale kategorije so še napad iz brskalnika, napad s sporočilom in prek omrežja (baseband).
Novice » Varnost » Prvi dan Mobile Pwn2Own vsi telefoni padli kot zrele hruške
johanblond ::
Zelo zgovorno je dejstvo, da je bilo nesorazmerno veliko napadov prek NFC. V kategoriji napada iz bližine so bili namreč na voljo tudi Bluetooth in Wi-Fi, a so tekmovalci raje izbirali NFC. Očitno je tehnologija še zelo luknjasta.
A je možno, da so se vsi sfokusiral na NFC, ker vsi vidijo "potencial" pri mobilnih plačilih.
vostok_1 ::
Zaupat komercialnim firmam gle de varnosti ne gre. One naredijo lih toliko varno kot je minimalno možno oz. lepo za vidt. Hence...izogibajte se cloud-om...še posebej nekriptiranim.
AndrejO ::
Kot vzporedna zanimivost:
KitKat je NFC avtomatično izključil, če je bil zaklenjen ali pa se je zaslon uglasnil. Razlog je bila varnost za vsak primer, saj je bilo s tem NFC (vsaj v ZDA) možno neposredno plačevati. Tako ni bilo praktične možnosti, da bi kdo zlorabil zaklenjen aparat.
Lollipop privzeto omogoča, da se ga (med drugim) odklene z uporabo NFC značke. Razlog je, nepresenetljivo, želja uporabnikov po večji praktičnosti in pritožbe zaradi načina delovanja KitKat.
Glej ga zlomka, mar ne?
KitKat je NFC avtomatično izključil, če je bil zaklenjen ali pa se je zaslon uglasnil. Razlog je bila varnost za vsak primer, saj je bilo s tem NFC (vsaj v ZDA) možno neposredno plačevati. Tako ni bilo praktične možnosti, da bi kdo zlorabil zaklenjen aparat.
Lollipop privzeto omogoča, da se ga (med drugim) odklene z uporabo NFC značke. Razlog je, nepresenetljivo, želja uporabnikov po večji praktičnosti in pritožbe zaradi načina delovanja KitKat.
Glej ga zlomka, mar ne?
Looooooka ::
KOkr jst berem ni problem v "NFC"-ju ampak v aplikaciji in implementaciji.
As in...zadeva je zgleda vključena oziroma KO je vključena sprejema datoteke, ki jih potem odpira z nekim viewerjem. Napaka je v viewerju, ki potem odpre datoteko in ka-blam.
Pa da vidimo če ma implementacija na Androidu in Windows Phonu tud tok pravic, da maš ob kablamu dostop do vsega :)
As in...zadeva je zgleda vključena oziroma KO je vključena sprejema datoteke, ki jih potem odpira z nekim viewerjem. Napaka je v viewerju, ki potem odpre datoteko in ka-blam.
Pa da vidimo če ma implementacija na Androidu in Windows Phonu tud tok pravic, da maš ob kablamu dostop do vsega :)
AndrejO ::
Kje pa piše da je bila zadeva najdena na Lollipop?
Nikjer in zelo, zelo malo verjetno, da bi imel kateri izmed primerkov Lollipop.
Zgodovina sprememb…
- spremenil: AndrejO ()
boolsheat ::
WPja se je lotil en tip iz VUPEN-a pa ga ni uspel hekniti:
http://h30499.www3.hp.com/t5/HP-Securit...
http://h30499.www3.hp.com/t5/HP-Securit...
Motion ::
Upam, da jo bo WP dobr odnesel
In zgleda da jo je odnesu relativno ok.
http://arstechnica.com/security/2014/11...
Markoff ::
Zaupat komercialnim firmam gle de varnosti ne gre. One naredijo lih toliko varno kot je minimalno možno oz. lepo za vidt. Hence...izogibajte se cloud-om...še posebej nekriptiranim.
Heh, "nekomercialne firme" tipa NSA, KGB, Mi5, SOVA, te so pa super zanesljive in s cloud-i komercialnih firm nimajo nič, ne?
Ta članek me samo utrjuje v stališču, da cigu, imenovan telefon, še ni primeren za to, da z njim izvajaš vse, od plačevanja do brisanja riti. Morda niti nikoli ne bo. Integrirane naprave so z vidika varnosti uporabnika in njegove zasebnosti / osebnih podatkov hudo tveganje.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Zgodovina sprememb…
- spremenilo: Markoff ()
johanblond ::
Zaupat komercialnim firmam gle de varnosti ne gre. One naredijo lih toliko varno kot je minimalno možno oz. lepo za vidt. Hence...izogibajte se cloud-om...še posebej nekriptiranim.
Heh, "nekomercialne firme" tipa NSA, KGB, Mi5, SOVA, te so pa super zanesljive in s cloud-i komercialnih firm nimajo nič, ne?
Malo off, pa vseeno
Temu se pa reče nacionalna zavest / domoljubje. Kar se tiče odebeljenega v tekstu, da se uporablja v istem stavku z ostalimi
poweroff ::
Morda niti nikoli ne bo. Integrirane naprave so z vidika varnosti uporabnika in njegove zasebnosti / osebnih podatkov hudo tveganje.
Da: https://pravokator.si/index.php/2014/06...
sudo poweroff
SeMiNeSanja ::
Morda niti nikoli ne bo. Integrirane naprave so z vidika varnosti uporabnika in njegove zasebnosti / osebnih podatkov hudo tveganje.
Da: https://pravokator.si/index.php/2014/06...
Ampak največja nevarnost, je pa na koncu še vedno uporabnik sam.
RejZoR ::
BT izklopljen (old and slow), WiFi izklopljen (who needs that with 4G), NFC-ja ne rabim in je isto izklopljen. Hack that bitches...
Angry Sheep Blog @ www.rejzor.com
SimplyMiha ::
BT izklopljen (old and slow), WiFi izklopljen (who needs that with 4G), NFC-ja ne rabim in je isto izklopljen. Hack that bitches...
How Hackers Tapped Into My Cellphone For Less Than $300
Zgodovina sprememb…
- spremenilo: SimplyMiha ()
RejZoR ::
Tud kličem bolj malo in sporočila redko pošiljam. Smartphone imam skor izključno za net in maile. HTTPS. Next?
Angry Sheep Blog @ www.rejzor.com
Looooooka ::
Hack s katerim so vdrli v telefone preko NFC-ja bi po vsej verjetnosti deloval tudi prek maila in neta(ker bi ga verjetno na koncu odprl isti program).
NFC so zbrali, ker je pač relativno nov način komuniciranja :)
NFC so zbrali, ker je pač relativno nov način komuniciranja :)
sandi203 ::
Ubuntu phone so dali na hladno.
Malenkost bolj komplicirano... Malo morda mešaš Ubuntu Edge in Ubuntu Touch.
Ubuntu Edge -> Ideja, da bi zbrali denar in naredili poseben telefon Ubuntu Phone. Padlo v vodo, ker ni bilo zbranega dovolj denarja.
http://www.techweekeurope.co.uk/news/ub...
Ubuntu Touch -> Ubuntu operacijski sistem za "običajne" telefone (torej telefone velikih proizvajalcev npr. LG, Samsung...). Pride ven konec decembra letos!
http://www.pcworld.com/article/2687847/...
Ubuntu Touch bo uporabljal Ubuntu Unity 8. Na namizju se trenutno uporablja Ubuntu Unity 7. Unity 8 je prva v ideji narediti eden! operacijski sistem za vse vrte računalništva: na namizju, mobilnih napravah!, strežnikih, oblaku itd. Torej bodo Ubuntu Unity 8 (ki bo najprej za telefone) potem prilagodili še ostale npr. na namizju. Cilj te konvergence je april 2016. Osnovna ideja pa je, da boš isto aplikacijo lahko zagnal na telefonu in na namiznem računalniku. Operacijski sistem bo zaznal ali aplikacijo zaganjaš na namizju ali telefonu in ustrezno temu prilagodil velikost ekranske slike programa, velikost gumbov itd.
AndrejO ::
NFC so zbrali, ker je pač relativno nov način komuniciranja :)
Zanimivo mi je, da na Androidu "onemogočen" očitno ne pomeni, da je dejansko neaktiven in, da se ga da "oživeti" tudi takrat, ko uporabnik tega ne pričakuje.
V prihajajoči verziji pa je pri Androdiu že "omogočen", kar ga naredi za še bolj privlačno tarčo za krajo podatkov. Telefoni (vsaj v ZDA) postajajo plačilno sredstvo in imeti takšna brezkontaktna vrata v "plačilno sredstvo" mi zveni kot uresničenje sanj tovrstnih kriminalcev.
sandi203 ::
Pa še tole kar se tiče Ubuntu Touch, da je resnično živ projekt in da bo ravnokar izšel na telefonih. Novica od včeraj: Canonical is very close to finishing the Ubuntu Touch operating system and to making it shippable for phones: http://news.softpedia.com/news/Canonica...
Zgodovina sprememb…
- spremenilo: sandi203 ()
RejZoR ::
Kakšna pa je sploh realna uporaba NFC tagov? Sem dobil dva zraven telefona, pa mi nekako ni jasno za kaj bi ju porabil. Videl sem da lahko preklaplja profile na podlagi bližine taga, ampak kakšna pa je ta razdalja? Oz koliko sploh kuri NFC baterije, če je sploh vredno imet to vklopljeno...
Angry Sheep Blog @ www.rejzor.com
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Na Pwn2Own padla večina programske opremeOddelek: Novice / Varnost | 11218 (8654) | crniangeo |
» | Po drugem dnevu na Pwn2Own vzdržal le Windows PhoneOddelek: Novice / Varnost | 9683 (7492) | AndrejO |
» | Prvi dan Mobile Pwn2Own vsi telefoni padli kot zrele hruškeOddelek: Novice / Varnost | 12238 (9539) | RejZoR |
» | Na letošnjem Pwn2Own največkrat zlomljen FirefoxOddelek: Novice / Varnost | 8986 (6581) | kronik |
» | Prvi dan Pwn2Own 2013 zlomljeni Chrome, Firefox, IE10 in JavaOddelek: Novice / Varnost | 7886 (5793) | MrStein |