Cuộc thi Mobile Pwn2Own 2014: Xâm nhập thành công nhiều loại điện thoại thông minh

Các nhà nghiên cứu đã xâm nhập thành công một vài mẫu điện thoại thông minh phổ biến nhất hiện Mobile Pwn2Own diễn ra bên lề Hội nghị PacSec Applied Security tại Tokyo ngày 12-13 tháng 11.

Mobile Pwn2Own được tổ chức bởi HP’s Zero Day Initiative (ZDI) và được tài trợ bởi BlackBerry, Google Android Security team. HP đã chuẩn bị $425,000 tiền mặt và các phần thưởng dành cho cuộc thi này. Ngày đầu tiên của cuộc thi bắt đầu với việc xâm nhập thành công iPhone 5s. Thanh viên của nhóm lokihardt@ASRT Hàn Quốc đã hack được vào thiết bị với hai lỗ hổng. Họ tấn công iPhone 5s thông qua trình duyệt web Safari và thoát hoàn toàn khỏi sanbox. Ngay sau đó, Team MBSD từ Nhật Bản đã hack thành công Samsung Galaxy S5 bằng kết nối NFC (near-field communications).

NFC cũng được sử dụng bởi nhà nghiên cứu người Anh Adam Laurie từ Aperture Lab hack chiếc LG Nexus 5. “Hai lỗ hổng khai thác khả năng NFC trên LG Nexus 5 đã chứng minh được rằng bắt buộc phải sử dụng BlueTooth khi ghép nối hai điện thoại” – Shannon Sabens, nhà phát triển bảo mật cấp cao của HP cho biết.

Kyle Riley, Bernard Wagner, và Tyrone Erasmus của MWR Infosecurity sử dụng kết hợp ba lỗ hổng để phá vỡ trình duyệt web của Amazon Fire Phone. Ngày thứ hai của cuộc thi, Nico Joly đến từ VUPEN team đã xâm nhâp trình duyệt web trên Windows Phone (Nokia Lumia 1520). Joly đã có thể lấy được cơ sở dữ liệu cookie, nhưng sandbox đã ngăn cản ông chiếm quyền kiểm soát hệ điều hành.

HP hứa rằng sẽ thông báo các lỗ hổng được khai thác đến các công ty bị ảnh hưởng.

Securityweek