PwnFest

В Сеуле прошёл хакерский конкурс PwnFest 2016, в рамках которого разные группы и индивидуальные взломщики показывали свои навыки.

Китайской группировке хакеров Qihoo 360 потребовалась всего одна минута для того, чтобы взломать смартфон Google Pixel. Взлом был осуществлён через найденную ими уязвимость нулевого дня в браузере Chrome. Они удалённо получили полный контроль над устройством, в том числе возможность запускать Google Play Маркет и совершать в нём покупки любого контента. Компания Google выплатила хакерам награду и сообщила, что в течение суток обнаруженный в браузере баг был устранён. Впрочем, раз хакеры настолько легко обошли защиту Google Pixel, не исключено, что им ещё раз удастся взломать этот смартфон.

Смартфоны Pixel унаследовали в устройств серии Nexus беспрецедентную стойкость защиты. Это возможно благодаря тому, что на них установлена новейшая версия Android со встроенным инструментом для распознавания вредоносного кода и хакерских атак. Как видим, эта защита не всегда срабатывает.

PwnFest


В начале ноября 2016 года глaва отдела безопасности Android Адриан Людвиг выступил на конференции O’Reilly Security и заявил, что смартфоны Google Pixel и iPhone одинаково хорошо защищены от взлома и хакерских атак. По словам Людвига, встроенный в Android инструмент Safety Net ежедневно осуществляет удалённую проверку примерно 400 миллионов смартфонов и планшетов, сканируя около 6 миллиардов устанавливаемых и запускаемых приложений. Кроме того, Google ежемесячно выпускает патчи безопасности Android, но они доходят лишь до незначительной части устройств: в основном новых моделей Pixel, а также флагманских смартфонов, выпущенных крупными брендами.

Ранее в этом году хакерская команда Keen выступила на конкурсе Pwn2Own и взломала обновлённый смартфон Nexus 6P. Для этого хакеры задействовали комбинацию из двух готовых эксплойтов для Android, после чего воспользовались несколькими уязвимостями в операционной системе. Награда за этот взлом составила 100 тысяч долларов.

PwnFest

На конкурсе PwnFest в этом году были взломаны и другие популярные продукты. Так, упомянутая выше группировка Qihoo 360 всего за 4 секунды хакнула Adobe Flash Player, используя одну из неизвестных ранее уязвимостей, а также продемонстрировала взлом Windows 10 через браузер Microsoft Edge с обновлением Redstone 1. За свои достижения на этом конкурсе команда получила в общей сложности около полумиллиона долларов.

Другие хакеры из Китая, входящие в группировку Pangu, продемонстрировали способ взлома браузера Apple Safari на обновленной версии macOS Sierra. На это у них ушло всего 20 секунд.