Af Torben B. Sørensen, 02/11/17
Konkurrencen Mobile Pwn2Own foregik i denne uge i Tokyo, Japan. Sikkerhedsforskere kappedes om at knække sikkerheden på smartphones.
Flere af deltagerne havde held med at afvikle skadelig programkode på enhederne.
Et hold fra firmaet 360 Security fik Samsung Internet Browser på en Samsung Galaxy S8 til at køre kode. Via en sårbarhed i en Samsung-app fik de den skadelige kode til at køre videre efter en genstart.
Tencent Keen Security Lab udnyttede fire sårbarheder til at afvikle kode og få øgede privilegier på en iPhone 7 med den nyeste version af iOS.
Samme hold havde også fundet en sårbarhed i Safari-browseren på en iPhone 7, som sammen med en sårbarhed i en systemtjeneste lod dem køre skadelig kode.
Safari var også målet for Richard Zhu, der benyttede to sårbarheder til at komme ud af sandkassen og afvikle kode.
Tencent Keen Security Lab demonstrerede et angreb, der afviklede kode på baseband-processoren i en Huawei Mate9 Pro. Det gjorde dem i stand til at ændre enhedens IMEI-værdi (International Mobile Equipment Identity).
MWR Labs udnyttede fem fejl i Huawei-applikationer til at slippe ud af sandkassen i Google Chrome på en Huawei Mate9 Pro.
Samme hold udnyttede 11 sårbarheder i seks forskellige apps til at afvikle kode ved hjælp af Samsung Internet Browser på Samsung Galaxy S8.
Også 360 Security formåede at knække sikkerheden i Safari ved hjælp af to sårbarheder.
Konkurrencereglerne medfører, at information om sårbarhederne gives videre til producenterne, så de kan lukke hullerne. Før det sker, må deltagerne ikke offentliggøre tekniske detaljer om sikkerhedshullerne.
Anbefaling
Afvent opdateringer fra Apple, Huawei og Samsung.