Car-tech

Galaxy S III פריצה דרך NFC ב Mobile Pwn2Own תחרות

איך לפרוץ את הטלפון שלכם?

איך לפרוץ את הטלפון שלכם?
Anonim

Samsung Galaxy S III ניתן לפרוץ באמצעות NFC, המאפשר לתוקפים להוריד את כל הנתונים של הטלפון החכם אנדרואיד, חוקרים אבטחה הוכיחו במהלך תחרות Pwn2Own נייד באמסטרדם ביום רביעי.

ניצול של Galaxy S III נבדק במהלך Mobile Pwn2Own באמסטרדם.

חוקרים מחברת האבטחה MWR Labs הראו את הקהל בתחרות Mobile Pwn2Own בוועידת האבטחה של EUSecWest, כי ניתן לשדר לנצל על חיבור NFC (ליד שדה תקשורת) על ידי החזקת שני גלקסי S IIIS זה ליד זה.

[המשך קריאה: כיצד להסיר תוכנות זדוניות מהמחשב Windows שלך]

באמצעות te chnique, קובץ נטען על S ממוקד השלישי. הקובץ נפתח באופן אוטומטי ומקבל הרשאות מלאות, כלומר לתוקף יש שליטה מלאה בטלפון, הסביר Tyrone Erasmus, חוקר אבטחה ב- MWR. האפליקציה פועלת ברקע כך שהקורבן אינו מודע למתקפה, הוא הוסיף.

התוקף, למשל, מקבל גישה לכל הודעות SMS, תמונות, הודעות דוא"ל, פרטים ליצירת קשר ועוד. המטען הוא מאוד מתקדם, כך שהתוקפים יכולים "לעשות כל דבר בטלפון", אמרו החוקרים.

הניצול מיועד ליישום הצופה של מסמך שמגיע כברירת מחדל של אפליקציה מותקנת ב- Galaxy S II, S III ו- כמה טלפונים HTC, אמרו החוקרים. הם לא היו אומרים איזה ספציפי app ממוקד כי הם לא רוצים שאחרים לנצל את לנצל. הפגיעות נבדקה הן ב- S II והן ב- S, ועבדה על שני הטלפונים. [

] יש לציין כי ניתן לנצל את הפגיעות גם בדרכים אחרות, אמרו החוקרים. "אנחנו השתמשנו בשיטת NFC לראווה", אמר ארסמוס, שהוסיף כי השימוש ב- NFC פירושו שאנשים יכולים להיות ממוקדים כאשר הם פשוט עוברים ליד תוקף פוטנציאלי. למרות שהטלפונים חייבים להיות קרובים מאוד זה לזה - כמעט נוגעים ללב - רק חיבור קצר מאוד נדרש כדי להעלות את נתוני המטען, ולאחר מכן ניתן ליצור חיבור Wi-Fi, המאפשר לתוקף להוריד מידע מהטלפון הממוקד, "צוות MWR זכה 30,000 $ בין פרסים אחרים על גרזן שלהם. הפרטים הטכניים של גרזן יימסר לסמסונג על ידי Zero Day Initiative (ZDI) של HP DVLabs, שאירגן את התחרות. כשזה קרה, סביר להניח שהבג יתקבע, אמרו החוקרים. "אני חושב שזה גורם איום מסוכן מאוד", אמר דראגוס רויו, מארגן EUSecWest, שהוסיף כי התרשם במיוחד ממדידת הניצול. רוב Pwn2Own פריצות רק לנצל חלק מסוים של הטלפון הנייד, כמו הדפדפן, הוא אמר. "הם הוכיחו את מלוא הבעלות על הטלפון; זה חריג ", אמר Ruiu.

חוקרים הולנדים האבטחה פרצו iPhone 4S מוקדם יותר ביום רביעי באותה תחרות Pwn2Own, מראה כיצד דף אינטרנט זדוני יכול לשלוח את כל התמונות, נתוני פנקס הכתובות ואת היסטוריית הגלישה בטלפון לשרת של בחירה של התוקף על ידי ניצול חור במנוע WebKit של ספארי