В рамках конкурса Mobile Pwn2own исследователи продемонстрировали успешную эксплуатацию уязвимостей на известных устройствах.
Несколько дней назад завершился известный контест Mobile Pwn2Own 2014, который проходил в Токио при поддержке компании Hewlett-Packard. Исследователям уязвимостей из security-компаний предлагалось продемонстрировать успешную эксплуатацию уязвимостей на известных мобильных устройствах
Для этой цели были выбраны такие известные устройства как Apple iPhone 5s, iPad Mini, Amazon Fire Phone, BlackBerry Z30, Google Nexus 5 и 7, а также Nokia Lumia 1520 и Samsung Galaxy S5.
В первый день конкурса все используемые устройства, в том числе и Samsung Galaxy S5, были взломаны. Следует сказать, что защиту Samsung Galaxy S5 удалось скомпрометировать дважды, проэскпулатировав две разные бреши в технологии NFC. Жертвой атаки через NFC стал также LG Nexus 5. Оба указанных устройства работают на платформе Android. Помимо NFC, платформами для атак стали штатные браузеры систем.
На второй день состязания ни одно из устройств не было полностью скомпрометировано. Механизм security sandbox оказался надежным у Windows Phone 8 (Nokia Lumia 1520). Так, исследователи успешно эксплуатировали RCE-эксплоит для получения доступа к файлам cookie, Тем не менее, обойти ограничения песочницы не удалось. Аналогичная ситуация сложилась и с попыткой провести атаку на Google Nexus 5 через сервис Wi-Fi в OS Android.
По правилам конкурса продемонстрированные ресерчерами уязвимости сразу же отправляются соответствующим вендорам для их анализа и выпуска соответствующего обновления.
Специалистам компаний по информационной безопасности, которые производят указанные мобильные устройства, стоит обратить особое внимание на связанные с NFC уязвимости, тем более что эта технология все шире применяется в электронных платежах.