На хакерском конкурсе взломали iPhone 4S и Galaxy S III

Участникам хакерского конкурса Mobile Pwn2Own, который проходит в Амстердаме, удалось взломать смартфоны iPhone 4S и Samsung Galaxy S III, передает Сomputerworld.Отыскать уязвимость в iPhone 4S смогли нидерландские специалисты по компьютерной безопасности Йоост Пол (Joost Pol) и Даан Кейпер (Daan Keuper) из компании Certified Secure. Используя "баг" в браузерном движке WebKit, они получили контроль над аппаратом и загрузили личные данные: адресную книгу, фотографии, почту, журнал браузера и так далее.

Перед атакой не устояли как аппарат, работающий на iOS 5.1.1, так и смартфон на базе предварительной версии iOS 6. Сообщается, что уязвимость присутствует также в iPad, iPhone 4 и iPod touch.

Хакеры, взломавшие Galaxy S III, работают в компании MWR Labs. Для осуществления атаки они воспользовались технологией беспроводной связи NFC. Взломщики установили соединение между двумя смартфонами Galaxy S III и передали вредоносное ПО с одного аппарата на другой, передает lenta.ru.

Организаторы конкурса премировали взломщиков 30 тысячами долларов США и устройствами BlackBerry. Конкурс приурочен к конференции EUSecWest, посвященной вопросам информационной безопасности. Подробное описание способов взлома устройств не предоставляется, чтобы ими не воспользовались злоумышленники.

Pwn2Own проводится с 2007 года. В 2012 году правила состязания были изменены: от участников потребовали писать код для взлома устройств прямо на конкурсной площадке, в то время как в прошлые годы им разрешалось приходить с готовыми наработками. Из-за этого от участия в Pwn2Own отказался ветеран конкурса Чарли Миллер (Charlie Miller).

В 2012 году Pwn2Own разделен на две части: в марте хакеры искали уязвимости в браузерах, а в сентябре - в мобильных устройствах. Помимо iPhone 4S и Galaxy S III, "объектами взлома" на Mobile Pwn2Own 2012 выступают также смартфоны BlackBerry Bold 9930 и Nokia Lumia 900.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

iOS и iPadOS 17.4.1 устранили уязвимость удалённого выполнения кода

Apple раскрыла немного подробностей относительно одного из последних обновлений, вышедших на прошлой неделе, — iOS и iPadOS 17.4.1. Оказалось, апдейты устраняют опасную уязвимость, способную привести к удалённому выполнению кода.

Как пишет корпорация, уязвимость, получившая идентификатор CVE-2024-1580, затрагивает следующие модели «яблочных» устройств:

  • iPhone XS и более поздние;
  • iPad Pro (12,9 дюйма) и более поздние;
  • Первое поколение 11-дюймового iPad Pro и более поздние;
  • Третье поколение iPad Air и более поздние;
  • iPad mini пятого поколения и более поздние.

Корень CVE-2024-1580 кроется в библиотеке с открытым исходным кодом — dav1d AV1 (используется для декодирования AV1-видео на многих платформах и девайсах), допускающей запись за пределами границ.

В iOS и iPadOS от бреши страдают два компонента: фреймворк Core Media, предназначенный для обработки мультимедийных данных, и имплементация WebRTC.

Чтобы полностью избавить пользователей от CVE-2024-1580, Apple выпустила патчи для браузера Safari, а также систем macOS Sonoma и VenturavisionOS. За информацию об уязвимости корпорация поблагодарила исследователи из команды Google Project Zero.

Есть мнение, что Apple не сразу опубликовала разъяснения к апдейтам именно потому, что разработчики считают CVE-2024-1580 опасной проблемой.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru