Knekket nettlesere og mobilapper

Både Chrome, Safari og IE måtte gi tapt under årets Mobile Pwn2Own.

Hackerkonkurransen Pwn2Own burde være kjent for de fleste, men siden i fjor har HP ZDI også arrangert en mobilorientert utgave av den samme konkurransen. I Mobile Pwn2Own er det blant annet om å gjøre å demonstrere utnyttelse av sårbarheter i nettleserne og applikasjoner for ulike smartmobiler. Årets konkurranse gikk av stabelen denne uken i forbindelse med PacSec-konferansen i Tokyo.

I alt ble det lovet ut 300 000 dollar i premier, fordelt på en rekke kategorier.

HP ZDI har publisert en rekke blogginnlegg om suksesshistorier i de ulike kategoriene. Foreløpig er det klart at i alle fall Safari for iOS og Chrome for Android har blitt knekket.

Sårbarheten i Chrome, som også berørte pc-utgavene, skal allerede være fjernet i en oppdatering som kom i går.

Utnyttelsen av Safari-sårbarheten er omtalt i videoen nedenfor.

Et japansk lag skal under konkurransen ha greid å utnytte sårbarheter i flere av Samsungs standardapplikasjoner som følger med Galaxy S4-telefonen. Sårbarhetene ble utnyttet til å skjule installasjonen av en ondsinnet applikasjon og et påfølgende tyveri av brukerdata, inkludert SMS-meldinger, kontaktliste og nettleserhistorikken.

I forbindelse med konkurransen demonstrerte to ansatte i HP ZDI også en til nå ukjent sårbarhet i Internet Explorer 11 på Windows 8.1.

– Det å utnytte en feil i IE er vanskelig på grunn av beskyttelsene og sikkerhetskontrollene de har implementert, sier Abdul Aziz Hariri i videoen nedenfor. Men ved å utnytte den samme sårbarheten to ganger fikk han og kollegaen Matt Molinyawe tilgang til en minneadresse som ga dem mulighet for fjernkjøring av kode og full kontroll over systemet.

    Les også:

Til toppen