در رقابت‌های نفوذ PwnFest ۲۰۱۶ چه می‌گذرد؟ نفوذ به پیکسل، اج و ادوبی فلش

۳گوشی جدیدی که گوگل چند ماهی است روانه‌ی بازار کرده در عرض کمتر از یک دقیقه توسط نفوذگران چینی مورد نفوذ قرار گرفت.

بله! گوشی هوشمند گوگل با نام پیکسل توسط نفوذگران کلاه سفید از گروه Qihoo ۳۶۰ در رقابت‌های نفوذ PwnFest سال ۲۰۱۶ که در سئول برگزار شد، مورد نفوذ قرار گرفت. نفوذگران Qihoo ۳۶۰ از یک آسیب‌پذیری روز-صفرم برای اجرای کد از راه دور۱ (RCE) بر روی گوشی هوشمند بهره‌برداری کرده و اثبات مفهومی آن را نیز ارائه کردند.

این بهره‌برداری قبل از اینکه گوگل کروم نمایش داده شود، فروشگاه گوگل پلی را اجرا کرده و صفحه‌ی وبی را نمایش می‌دهد که در آن پیغام «توسط گروه آلفا ۳۶۰ مورد نفوذ قرار گرفت» نشان داده می‌شود.

این گروه بخاطر نفوذ به پیکسل برنده‌ی ۱۲۰هزار دلار شدند. حالا گوگل برای وصله کردن این آسیب‌پذیری در تلاش است.

۲_۷۴
در این رقابت‌ها علاوه بر گوشی پیکسل، مرورگر اج که بر روی ویندوز ۱۰ اجرا می‌شود نیز مورد نفوذ واقع شد. گروه Qihoo ۳۶۰ همچنین به ادوبی فلش نفوذ کردند. این نفوذگران از آسیب‌پذیری قدیمی استفاده پس از آزادسازی۲ که یک آسیب‌پذیری روز-صفرم است و یک اشکال در هسته‌ی win۳۲k بهره‌برداری کرده و ۱۲۰ هزار دلار برنده شدند.

۴_۱۶

نفوذگر JH همراه با گروه جیلبریک آیفون با نام Pangu، یک بهره‌برداری بر روی مرورگر Safari را کشف کردند که از طریق یک اشکال ارتقاء امتیاز به نفوذگران بر روی مرورگر به‌روزرسانی‌شده‌ی Safari دسترسی ریشه را در عرض ۲۰ ثانیه می‌دهد. این مرورگر بر روی MacOS Sierra در حال اجرا است. این بهره‌برداری برای این گروه ۸۰هزار دلار جایزه در پی داشته است.

۳_۵۱

جزئیات تمام این بهره‌برداری‌ها به شرکت‌ها مورد نظر گزارش خواهد شد تا قبل از سوءاستفاده‌ی مهاجمان، این آسیب‌پذیری‌ها را وصله کنند. نفوذگران گروه Qihoo ۳۶۰ این رقابت‌ها را با ۵۲۰هزار دلار جایزه ترک کردند.

۱. remote code execution
۲. use-after-free

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter