Windows Phone Sandbox bất bại tại Pwn2Own Mobile

Cuộc thi hack Mobile Pwn2Own đã kết thúc, mang lại không khí vui vẻ cho các nhà phát triển của hệ điều hành Windows Phone và Android, vì tin tặc chỉ đạt được một phần mục tiêu của họ.

Đúng như tên gọi của nó, cuộc thi tập trung vào lĩnh vực di động của Pwn2Own, hoạt động bởi tổ chức Zero-Day Initiative của HP (ZDI) và nó tập trung vào việc minh họa khai thác zero-day. Khai thác này có thể được sử dụng cho việc kiểm soát hoàn toàn các thiết bị.

Trong ngày cuối cùng của sự kiện, Nico Joly, một nhà nghiên cứu kỳ cựu từ hãng bảo mật Vupen của Pháp, đã cố gắng sử dụng kỹ năng của mình trên Lumia 1520 Windows Phone và khai thác các trình duyệt web để điều khiển hoàn toàn thiết bị.

Tuy nhiên, các thành phần sandbox đã ngăn cản anh kiểm soát điện thoại và anh chỉ có thể trích xuất cơ sở dữ liệu của hệ thống như: cookie. Tuy nhiên, đây cũng đã là một kỳ tích vì tin tặc có thể sử dụng cookie để truy cập tài khoản trực tuyến của một cá nhân và thực hiện thay đổi, giống hệt cách mà chủ sở hữu tài khoản thực hiện.

Đối thủ cạnh tranh thứ hai là Jüri Aedla, người đã nhắm vào Android và tiến hành một cuộc tấn công dựa trên WiFi (lỗi nằm trong DHCP cho phép thực thi mã từ xa) trên một chiếc điện thoại Nexus 5 chạy Android.

Anh cũng đã không thành công trong trong việc cố gắng kiểm soát thiết bị, nỗ lực không thành công.

Năm nay, mobile Pwn2Own được Google và Blackberry tài trợ. Họ đã chi 425.000 USD tương đương 341.500 Euro giải thưởng tiền mặt. Chương trình được tổ chức trong khuôn khổ hội nghị an ninh PacSec tại Tokyo.

Trong phiên thi đấu ngày đầu tiên, các tin tặc tấn công thành công thiết bị Samsung (Galaxy S5), LG (Nexus 5), Apple (iPhone 5S) và Amazon (Điện thoại Fire).

Công nghệ Near Field Communication (NFC) được tin tặc sử dụng ba trong tổng số các trường hợp, hai trong số các cuộc tấn công nhắm vào Galaxy S5 (Jon Butler của MWR Infosecurity của Nam Phi và đội MBSD từ Nhật Bản) và một nhắm vào Nexus 5, do Adam Laurie từ Aperture Labs của Vương quốc Anh thực hiện.

Để xâm nhập iPhone, lokihardt@ASRT tìm ra hai lỗi để tạo một lối thoát sandbox trong trình duyệt web Safari. Trong trường hợp của Amazon Fire, một sự kết hợp của ba vấn đề về an ninh trong trình duyệt web dẫn đến kiểm soát hoàn toàn thiết bị.

Giải thưởng cho khai thác thành công trình duyệt web là 50.000 USD tương đương 40.000 Euro. Khoản thưởng tương tự dành cho với việc tận dụng một zero-day trong một ứng dụng điện thoại di động. Các cuộc tấn công dựa trên NFC có giá trị hơn, giúp các tin tặc giành được 75.000 USD tương đương 60.000 Euro.

Không có khai thác nào được công khai, theo các quy tắc của cuộc thi, nhưng ZDI xác minh và xác nhận chúng và ngay lập tức tiết lộ chúng cho các công ty tham gia vào sự phát triển của các sản phẩm bị ảnh hưởng.

ZDI hứa sẽ cung cấp chi tiết về các khai thác cá nhân đã sử dụng trong cuộc thi trong vài tuần tới.

Softpedia