Podczas tegorocznej edycji konkursu dla hakerów Mobile Pwn2Own Joost Pol, holenderski haker zaprezentował poważną lukę w zabezpieczeniach iPhone’a 4S oraz 5. Exploit uruchomiony na przeglądarce Safari umożliwił kradzież prywatnych danych. Jeszcze groźniejszą lukę wykryli panowie z MWR Labs w zabezpieczeniach Samsunga Galaxy S III.

Dziura w iPhone 4S (iOS 5.1.1 )znajduje się w silniku Webkit wykorzystywanym przez mobilną przeglądarkę Safari — wystarczy, że użytkownik iPhone’a wejdzie na odpowiednio spreparowaną stronę, a stracić może część ze swoich prywatnych danych. Atak ma ponoć działać także na iPhone 5 (bo z powodzeniem udało się go przeprowadzić na developerskiej wersji iOS 6).

Android 4.0.4 poległ z kolei „dzięki” technologii NFC (Near Field Communication). Odkrywcami błędu w Androidzie są panowie z MWR Labs, którzy przy pomocy NFC wgrali na Androida złośliwy plik, który ominął sandboxing, ASLR oraz DEP oraz zdobył pełne uprawnienia (ma więc dostęp do SMS-ów, zdjęć, e-maili, kontaktów). Dziura w Androidzie jest więc poważniejsza w skutkach niż ta w iOS i wbrew pozorom nie wymaga zbliżenia się do ofiary — innym wektorem ataku może być e-mail.

Konkurs Mobile Pwn2Own przeprowadzono między 18 a 19 września w Amsterdamie w ramach konferencji EUSecWest.

źródło: Niebezpiecznik.pl

Kan