Ο hacking διαγωνισμός για κινητά Pwn2Own τελείωσε την Πέμπτη που μας πέρασε, και άφησε πολύ ευχαριστημένους τους προγραμματιστές του Windows Phone, καθώς οι hackers δεν κατάφεραν να παρακάμψουν το sandbox του λειτουργικού συστήματος της Microsoft.
Ο διαγωνισμός Pwn2Own, οργανώθηκε από το τμήμα Zero-Day Initiative (ZDI), της HP, και εστιάζει στην επίδειξη zero-day exploits που μπορούν να χρησιμοποιηθούν για τον πλήρη έλεγχο της συσκευής.
Την τελευταία ημέρα της εκδήλωσης, ο Nico Joly, ένας βετεράνος ερευνητής της διάσημης γαλλικής εταιρείας ασφαλείας Vupen, δοκίμασε τις ικανότητές του σε μια συσκευή Lumia 1520 (Windows Phone), προσπαθώντας να κάνει exploit στο πρόγραμμα περιήγησης του για να πάρει τον πλήρη έλεγχο της συσκευής.
Ωστόσο, το sandbox τον εμπόδισε και το μόνο που κατάφερε ήταν να περάσει στη βάση δεδομένων των cookies. Γνωρίζεται ότι τα cookies μπορούν να χρησιμοποιηθούν από κάποιον hacker για να αποκτήσει πρόσβαση στους online λογαριασμούς του ιδιοκτήτη της συσκευής.
Αμέσως μετά ο Jüri Aedla, παρουσίασε μια επίθεση στο λειτουργικό σύστημα Android. Η επίθεση έγινε μέσω του WiFi από ένα glitch του DHCP που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα, σε ένα Nexus 5. Ο hacker δεν μπόρεσε να πάρει τον έλεγχο της συσκευής.
Ο διαγωνισμός Pwn2Own για αυτή τη χρονιά πραγματοποιήθηκε με χορηγίες από την Google και την Blackberry, οι οποίες προσέφεραν 425.000 δολάρια για τα χρηματικά έπαθλα. Πραγματοποιήθηκε στο Τόκιο κατά τη διάρκεια της διάσκεψης για την ασφάλεια PacSec.
Την πρώτη μέρα του διαγωνισμού οι hackers κατάφεραν να παραβιάσουν με επιτυχία αρκετές συσκευές όπως το Samsung Galaxy S5, Το LG Nexus 5, το iPhone 5S της Apple και το Fire Phone της Amazon.
Η τεχνολογία Near Field Communication (NFC) χρησιμοποιήθηκε ως φορέας της επίθεσης σε τρεις περιπτώσεις, δύο από τις επιθέσεις είχαν σαν στόχο το Galaxy S5 από τον Jon Butler της MWR Infosecurity και την ομάδα MBSD της Ιαπωνίας. Το ίδιο χαρακτηριστικό χρησιμοποιήθηκε και για την παραβίαση του Nexus 5 από τον Adam Laurie της Aperture Labs.
Το iPhone παραβιάστηκε από τον lokihardt@ASRT που χρησιμοποίησε δύο σφάλματα, για να παρακάμψει το sandbox του web browser Safari.
<!–
–>