PWN2OWN

Denne gjengen fikk 215 000 dollar for angrep mot Android og iOS

Var en klar vinner av årets Mobile Pwn2Own-konkurranse.

Tencent Keen Security Lab Team under Mobile Pwn2Own 2016.
Tencent Keen Security Lab Team under Mobile Pwn2Own 2016. Bilde: Trend Micro
Harald BrombachHarald BrombachNyhetsleder
27. okt. 2016 - 20:00

Den årlige hackerkonkurransen Mobile Pwn2Own ble arrangert av Zero Day Initiative i Tokyo i går. To team skulle gjennomføre til sammen fire forsøk på å trenge gjennom sikkerheten til helt oppdaterte iPhone 6S- og Nexus 6P-enheter. 

Tencent Keen Security Lab Team greide å først å utnytte flere sårbarheter og svakheter i Android til å installere en ondsinnet app på Nexus-enheten.

Leste du denne? Ondsinnede kan få root-aksess i Android ved hjelp av «bit-flipping»

To iPhone-angrep

Det samme teamet forsøkte å gjøre det samme med iPhone-enheten, men dette ble ikke ansett som fullstendig vellykket siden applikasjonen ble borte etter en omstart av enheten.

Tencent Keen-teamet lyktes derimot med å få iPhonen til å lekke bilder. Dette ble gjort ved å utnytte en «use-after-free»-feil i en renderer og en minnekorrumperingsfeil i en sandkasse. 

Det er Trend Micros Zero Day Initiative som står bak Pwn2Own-konkurransene. <i>Foto: Trend Micro</i>
Det er Trend Micros Zero Day Initiative som står bak Pwn2Own-konkurransene. Foto: Trend Micro

Det andre teamet, fra MWR Labs, forsøkte også å installere en ondsinnet app på Android-enheten. Selv om dette hadde fungert i teamets tidligere forsøk, greide ikke teamet å gjennomføre det under den tilmålte tiden under konkurransen. Trolig skyldtes dette en helt fersk Chrome-oppdatering som gjorde angrepskoden til teamet for ustabil.

I konkurransen kan deltakerne gjøre tre forsøk, hver på maksimalt fem minutter. 

Etter 2,5 vellykkede forsøk, samt en bonuspoeng, mottok Tencent Keen Security Lab Team en samlet premie på 215 000 dollar.

Les også: Apple lover opptil 200 000 dollar til den som kan hacke en iPhone

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.