Дослідники знайшли серйозні уразливості в телефонах Samsung, Apple і Huawei

Якщо ви є власником iPhone 7 або Galaxy S8, можливо, ви захочете перевірити наявність оновлень. Цього тижня в Токіо відбувся щорічний конкурс Pwn2Own, організований Zero Day Initiative (ZDI), на який зібралися дослідники з усього світу, щоб продемонструвати уразливості в iPhone 7, Samsung S8 і Huawei Mate 9 Pro.

Цього року на конкурсі було виявлено 32 різні вразливості, а дослідники отримали винагороду у розмірі $515 000.

iPhone

Компанія Qihoo 360 Security виявила вразливість, через яку хакери могли використовувати Wi-Fi для виконання коду на iPhone 7. Вони також змогли експлуатувати Safari через баг в браузері і баг в системних службах.

Лабораторія Tencent Keen Security Lab виявила тривожну вразливість Wi-Fi, де хакери могли використовувати серію багів для виконання коду та підвищення привілеїв на iPhone 7 для встановлення шкідливого додатку. Додаток залишався на пристрої навіть після перезавантаження.

Fluorescence (Richard Zhu) використовували баг в браузері Safari на iPhone 7 з помилкою виходу за межі дозволеного, щоб вийти з пісочниці браузера і виконати код на телефоні.

Samsung

Фахівці MWR Labs виявили серйозну уразливість в Samsung Galaxy S8. Дослідники використали 11 вразливостей у шести різних додатках для виконання коду та отримання даних з пристрою. Така кількість багів дозволила дослідникам продовжувати експлуатувати телефон навіть після перезавантаження.

Qihoo 360 Security використовувала інтернет-браузер Samsung на Galaxy S8 для запуску коду, а потім скористалася підвищенням привілеїв в додатку Samsung, яке зберігалося після перезавантаження пристрою.

Huawei

Andy Boxall/Digital Trends

MWR Labs використала серію з п’яти багів в різних додатках Huawei, щоб вийти з пісочниці браузера Google Chrome і видалити дані з Huawei Mate 9 Pro.

Tencent Keen Security використовувала Huawei Mate 9 Pro для демонстрації найбільш руйнівної вразливості під час конкурсу. Дослідники змогли здійснити атаку на пристрій з використанням базового діапазону та виконати код на широкосмуговому процесорі. Після цього вони змогли модифікувати міжнародний ідентифікатор мобільного обладнання (IMEI) пристрою, що могло б спричинити величезні перебої в роботі, якби це було зроблено в дикій природі. Це був перший широкосмуговий експлойт, коли-небудь представлений в ZDI.

Щорічно ZDI проводить конкурс Pwn2Own не тільки для того, щоб продемонструвати вразливості пристроїв, але і для того, щоб дати можливість вендорам виправити їх. Експлойти надаються виробникам, які мають змогу напряму задати дослідникам будь-які питання, що їх цікавлять. Після цього ZDI надає постачальнику 90 днів на виправлення проблеми. Якщо постачальник не може або не хоче виправити проблему або надати обґрунтовану заяву про те, чому вразливість не виправлена, ZDI публікує рекомендацію з додатковою інформацією про експлойти, щоб захистити громадськість.

Рекомендації редакції

• Samsung Galaxy S23: дата виходу, характеристики, ціна, чутки та новини
• Як iPhone 14 Plus став одним з найбільших технологічних провалів 2022 року
• Як налаштувати новий телефон Samsung Galaxy як професіонал
• Що таке Amazon Music: все, що потрібно знати
• Apple може скасувати iPhone SE 4 в наступному році – і я радий

Source: digitaltrends.com