Hackerano Google Pixel e guadagnano 120 mila dollari in 60 secondi

Hackerano Google Pixel e guadagnano 120 mila dollari in 60 secondi

Al PwnFest 2016 un team di white-hat ha scoperto e dimostrato una vulnerabilità sui nuovi Google Pixel che consente di hackerare lo smartphone in meno di 60 secondi. In totale il team è tornato a casa con 520 mila dollari

di pubblicata il , alle 10:22 nel canale Telefonia
GooglePixelMicrosoftAdobe
 
19 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Averell14 Novembre 2016, 18:36 #11
Originariamente inviato da: Schwarzk
Mi spiego...Anche la migliore cassaforte ha dei punti deboli.
Dopo che li hai scoperti, impieghi 5 minuti ad aprirla.....sommati però ai mesi che ti sono occorsi per scoprire come fare...


è talmente vero quello che dici che giusto poche ore fa su twitter è comparsa questa dichiarazione di buon senso per bocca di un tizio non qualunque che lavora in Google:

Link ad immagine (click per visualizzarla)
(il succo evidentemente non cambia per quanto si riferisca ad EDGE)


Cioè, dimenticate l'immagine di colui che, pur geniale, si siede di fronte ad una tastiera e ZAC:
oggi infatti le cose sono lievemente cambiate...
kiprio14 Novembre 2016, 21:01 #12
wow
Schwarzk14 Novembre 2016, 21:43 #13
edit.
Averell14 Novembre 2016, 21:50 #14
...
Schwarzk14 Novembre 2016, 22:02 #15
Originariamente inviato da: Averell
questa poi?

Gli do ragione portando oltretutto anche contributi di gente non propriamente sconosciuta...e mi contesta??


Ma il colpevole sono solo io che perdo tempo in queste discussioni.


Scusami...Ho tradotto alle pene di quadrupede quello che avevi linkato di twitter!....
Chiedo venia...
rockrider8115 Novembre 2016, 09:18 #16

Mah ...
non è possibile ...
in 18 secondi non ti togli neppure un cappero dal naso incastrato sul pelo ...
pabloski15 Novembre 2016, 11:06 #17
Originariamente inviato da: Schwarzk
Secondo me ha ragione invece!
Mi spiego...Anche la migliore cassaforte ha dei punti deboli.


Ovviamente, ed e' quello che e' successo con Chrome. All'inizio il suo modello di sicurezza sembrava inviolabile, poi man mano lo si e' aperto e il ritmo delle "aperture" e' diventato esponenziale. Ecco, questo e' il problema. All'inizio occorre uno sforzo titanico, con l'andare del tempo e degli exploit, tutto diventa piu' semplice.

L'altro punto e' piu' pratico, cioe' il livello di difficolta' richiede semplicemente uno sforzo economico e di forza lavoro maggiore. Ma se il software e' diffuso, c'e' l'incentivo ad investire tutto quello che serve per bucarlo.

L'utente e' raggiunto solo dalla parte dei "60 secondi". La difficolta' che c'e' dietro per arrivare a quel risultato non aiuta, perche' comunque gli exploit ci sono e funzionano e la gente viene bucata a raffica.

Ben diverso e' il discorso se si guarda al numero e al livello di controllo che le vulnerabilita' consentono. Un software che ha 1/10 delle vulnerabilita' di un certo tipo ( che so, RCE ) rispetto ad un concorrente, puo' dirsi effettivamente molto piu' sicuro.

Ovviamente nella pratica nemmeno questo aiuta, perche' il software invulnerabile non esiste e quindi l'utenza e' e sara' sempre in pericolo.
GTKM15 Novembre 2016, 11:26 #18
Originariamente inviato da: pabloski
Ovviamente, ed e' quello che e' successo con Chrome. All'inizio il suo modello di sicurezza sembrava inviolabile, poi man mano lo si e' aperto e il ritmo delle "aperture" e' diventato esponenziale. Ecco, questo e' il problema. All'inizio occorre uno sforzo titanico, con l'andare del tempo e degli exploit, tutto diventa piu' semplice.

L'altro punto e' piu' pratico, cioe' il livello di difficolta' richiede semplicemente uno sforzo economico e di forza lavoro maggiore. Ma se il software e' diffuso, c'e' l'incentivo ad investire tutto quello che serve per bucarlo.

L'utente e' raggiunto solo dalla parte dei "60 secondi". La difficolta' che c'e' dietro per arrivare a quel risultato non aiuta, perche' comunque gli exploit ci sono e funzionano e la gente viene bucata a raffica.

Ben diverso e' il discorso se si guarda al numero e al livello di controllo che le vulnerabilita' consentono. Un software che ha 1/10 delle vulnerabilita' di un certo tipo ( che so, RCE ) rispetto ad un concorrente, puo' dirsi effettivamente molto piu' sicuro.

Ovviamente nella pratica nemmeno questo aiuta, perche' il software invulnerabile non esiste e quindi l'utenza e' e sara' sempre in pericolo.


Da un punto di vista teorico, credo che qualsiasi software sia violabile, almeno ad oggi. La sicurezza si basa su quanto sia difficile raggiungere l'obiettivo.
Per dire, RSA mica è inviolabile, ma finché la fattorizzazione dei numeri primi richiederà enormi risorse, allora si potrà stare relativamente tranquilli, a meno di bug implementativi, ovviamente.
pabloski15 Novembre 2016, 11:44 #19
Originariamente inviato da: GTKM
ma finché la fattorizzazione dei numeri primi richiederà enormi risorse


ed e' questo il problema

il concetto di "enormi risorse" e' relativo all'attaccante

per uno script kiddie puo' essere impossibile crackare Chrome, per un governo e' una banalita'

e ovviamente consideriamo che il livello di complessita' nell'attaccare degli algoritmi ( come il citato RSA ) e' svariati ordini di grandezza superiore rispetto all'attaccare un qualsiasi software

cioe', ad oggi non esiste un computer in grado di attaccare RSA, ma qualunque soggetto finanziato e motivato puo' mettere insieme un team di esperti e macchine in grado di crackare qualsiasi software

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^