Χάκαραν το iPhone, τον IE8, τον Firefox και τον Safari

[Loner]

Χάκαραν το iPhone, τον IE8, τον Firefox και τον Safari

O ετήσιος διαγωνισμός Pwn2Own στο CanSecWest security show στο Βανκούβερ δίνει την ευκαιρία σε χάκερς και security experts να δείξουν τις ικανότητές του και να προσπαθήσουν να σπάσουν την ασφάλεια σε αρκετά προγράμματα και συσκευές. Και φέτος ήταν αρκετά επιτυχημένοι!

Σχεδόν όλοι οι δημοφιλείς browsers (Firefox, Safari, IE8) έπεσαν θύματα στον διαγωνισμό. Ακόμα, ένα non-jailbroken iPhone χακαρίστηκε και κλάπηκε η βάση δεδομένων των SMS του.

Ο Vincenzo Iozzo και ο Ralf Philipp Weinmann μπήκαν με ένα iPhone σε ένα site που είχαν στήσει με αποτέλεσμα να κρασάρει ο browser και να κλαπεί όλη η βάση δεδομένων των μηνυμάτων (μαζί με κάποια ήδη διεγραμμένα μηνύματα). Κάποιοι άλλοι χάκερς υποστηρίζουν ότι είναι δυνατό να γίνει κάτι αντίστοιχο χωρίς να κρασάρει ο browser. Η επιτυχία τους αυτή τους έκανε $15.000 πιο πλούσιους. Περισσότερες λεπτομέριες για την επίθεση θα ανακοινωθούν όταν ειδοποιηθεί η Apple και κλείσουν το κενό ασφαλείας.

Ο Charlie Miller, αναλυτής ασφάλειας στην Independent Security Evaluators, κατάφερε να χακάρει τον Safari σε ένα MacBook Pro χωρίς να έχει φυσική πρόσβαση, πράγμα που του απέφερε $10.000. O Nils κέρδισε $10.000 χακάροντας τον Firefox και ο Peter Vreugdenhil κέρδισε το ίδιο ποσό για τον ΙΕ8.

Όλες οι επιθέσεις σε browsers έγιναν με την επίσκεψη σε κάποιο μολυσμένο site.

περισσότερα πηγή

[The Punisher]

the payload used chained return-into-libc (“return oriented programming”) on ARM to execute in spite of code signing. As far as we know, this is the first public demonstration of chainged return-into-libc on thre ARM platform.

via