Hackerano Google Pixel e guadagnano 120 mila dollari in 60 secondi

Hackerano Google Pixel e guadagnano 120 mila dollari in 60 secondi

Al PwnFest 2016 un team di white-hat ha scoperto e dimostrato una vulnerabilità sui nuovi Google Pixel che consente di hackerare lo smartphone in meno di 60 secondi. In totale il team è tornato a casa con 520 mila dollari

di Nino Grasso pubblicata il , alle 10:22 nel canale Telefonia
GooglePixelMicrosoftAdobe
 

A pochi mesi dal debutto dei Google Pixel un gruppo di hacker cinesi ha scoperto una vulnerabilità sugli smartphone che consente di hackerare il sistema in meno di un minuto. Gli hacker white-hat di Qihoo 360 sono stati i protagonisti dell'impresa, mostrata nella competizione PwnFest 2016 tenutasi negli scorsi giorni a Seoul. Il team ha mostrato un exploit proof-of-concept per eseguire codice da remoto sul dispositivo sfruttando una vulnerabilità 0-day presente.

Una volta ottenuti i permessi l'exploit ha lanciato il Google Play Store sullo smartphone poco prima di aprire il browser Chrome per visualizzare una pagina web contenente la scritta "Pwned by 360 Alpha Team". Nessun problema per gli utenti dei due smartphone, almeno per il momento, visto i white-hat sono hacker etici che non sfruttano attivamente le vulnerabilità ma le scoprono affinché le società possano lavorare su eventuali fix e mettere definitivamente al sicuro gli utenti.

Grazie all'exploit dei Google Pixel e all'exploit di Adobe Flash sfruttando una falla 0-day vecchia di una decade e una vulnerabilità nel kernel win32k il team Qihoo 360 ha vinto un premio di 120.000 dollari in contanti e Google è attualmente al lavoro per rilasciare una patch per arginare il problema ed eliminare la vulnerabilità sugli smartphone. Al PwnFest i white-hat non hanno solo assediato Big G, ma hanno anche "bucato" Microsoft Edge, il nuovo browser di Microsoft proposto nativamente su Windows 10 e considerato come fra i più sicuri disponibili sulla piazza.

Fra gli altri vincitori il team Pangu, celebre creatore di varie versioni di jailbreak per iPhone, ha guadagnato 80 mila dollari per aver effettuato un exploit su Safari sfruttando una falla 0-day che consente la scalata dei privilegi su macOS Sierra, dando così pieno accesso ai permessi di root sul sistema operativo in appena 20 secondi. I dettagli delle vulnerabilità sono naturalmente ancora ignoti dal momento che per la divulgazione si attende il rilascio di un fix da tutte le società coinvolte in modo che i bug non possano essere sfruttati attivamente.

Il team di hacker Qihoo 360 ha guadagnato complessivamente 520 mila dollari all'interno della competizione PwnFest 2016.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

19 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Axios200614 Novembre 2016, 10:33 #1
exploit di Adobe Flash sfruttando una falla 0-day vecchia di una decade e una vulnerabilità nel kernel win32k


Della serie: "Ti piace vincere facile?" Flash e sicurezza non possono stare nella stessa frase.

"bucato" Microsoft Edge, il nuovo browser di Microsoft proposto nativamente su Windows 10 e considerato come fra i più sicuri disponibili sulla piazza.


Considerato sicuro da MS solamente. Stessi autori di macro, activeX e Internet Explorer.
Altair[ITA]14 Novembre 2016, 10:39 #2
"Edge, il nuovo browser di Microsoft proposto nativamente su Windows 10 e considerato come fra i più sicuri disponibili sulla piazza."

Buon Lunedì a tutti! ))))))))))))))))))))))))))))))
pin-head14 Novembre 2016, 11:00 #3
be' guardate quanto di mettono di solito a bucare Safari... Edge in confronto è una roccaforte.
coschizza14 Novembre 2016, 11:02 #4
Originariamente inviato da: Axios2006
Considerato sicuro da MS solamente. Stessi autori di macro, activeX e Internet Explorer.


Come al soli to la disinformazione regna sovrana suoi forum,se poi si parla di MS megli onon parlare.

Andate a guardare sui siti professionali di terze parti tutti i browser crome firefox edge ecc e andati a confrontare chi ha piu falle, chi le ha risolete ecc, poi magari vedete che non è MS a dire che è un ottimo browser ma il mercato.

Se poi uno crede alle favole ok ma una cosa sono i fatti un altro i pareri strettamente personali fatti passsre invece come universalmente riconosciuti.
inkpapercafe14 Novembre 2016, 11:05 #5
Sarebbero da pubblicare i tempi, i numeri di tentativi e quanti attacchi usati per valutare correttamente, ed evitare certe trollate da forum.

La sicurezza di un browser dipende anche da quanto tempo resiste, esattamente come una porta blindata o un immobilizer auto
hermanss14 Novembre 2016, 11:06 #6
Tanto di cappello a questi signori!
pabloski14 Novembre 2016, 11:24 #7
Originariamente inviato da: coschizza
Andate a guardare sui siti professionali di terze parti tutti i browser crome firefox edge ecc e andati a confrontare chi ha piu falle.


Si ma questo perche' non lo usa nessuno e quindi gli hacker non ci provano nemmeno a bucarlo ( cit. fanboy winaro contro Linux )

E comunque stai contando le falle a partire dalla data di rilascio del browser? No perche' Edge e' uscito molti anni dopo Firefox, Chrome, ecc...

Comunque sia nell'articolo c'e' scritto "kernel win32k", che diavolo c'entra con Android?
pabloski14 Novembre 2016, 11:26 #8
Originariamente inviato da: inkpapercafe
La sicurezza di un browser dipende anche da quanto tempo resiste, esattamente come una porta blindata o un immobilizer auto


Humm, perche' usare questo metro? La sicurezza di un software dipende dal numero e dalla gravita' di falle che si trovano nell'unita' di tempo scelta.

Un browser puo' essere molto difficile da bucare ( Chrome ) ma essere bersaglio di una tale potenza di fuoco, da non riuscire ad uscirne vivo.

All'utente non cambia nulla. L'utente va sul sito X dove c'e' l'exploit e zac, e' fregato.
Schwarzk14 Novembre 2016, 13:50 #9
Originariamente inviato da: pabloski
Humm, perche' usare questo metro? La sicurezza di un software dipende dal numero e dalla gravita' di falle che si trovano nell'unita' di tempo scelta.

Un browser puo' essere molto difficile da bucare ( Chrome ) ma essere bersaglio di una tale potenza di fuoco, da non riuscire ad uscirne vivo.

All'utente non cambia nulla. L'utente va sul sito X dove c'e' l'exploit e zac, e' fregato.


Secondo me ha ragione invece!
Mi spiego...Anche la migliore cassaforte ha dei punti deboli.
Dopo che li hai scoperti, impieghi 5 minuti ad aprirla.....sommati però ai mesi che ti sono occorsi per scoprire come fare...
Quindi che senso ha dire che hanno bucato un un browser piuttosto che Google Pixel in 60 sec.?
Nessuno, perché avranno impiegato mesi per scoprire prima come fare. Altro che 60 sec.
lucusta14 Novembre 2016, 17:20 #10
e' importante anche il tempo in cui porti un attacco, soprattutto via browser...
mediamente una pagina viene letta in meno di 60 secondi, e quelle su cui girano gli exploit molto, ma molto meno... ecco perche' quando vederte un contatore (aspetta 30 secondi per scaricare...) e' buona notma mandarli al diavolo...
in 30 secondi, quelli buoni, ti devastano il sistema.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^