Galaxy S III, Mobil Pwn2Own yarışmasında

Samsung Galaxy S III NFC ile saldırıya uğradı, saldırganların Mobile Pwn2Own yarışması sırasında gösterilen güvenlik kameraları Android smartphone'dan tüm verileri indirmesine izin verdi

Çarşamba günü Amsterdam'da.

Amsterdam'daki Mobile Pwn2Own'da bir Galaxy S III istismarı test edildi.

Güvenlik şirketi MWR Labs'dan araştırmacılar, EUSecWest güvenlik konferansında Mobile Pwn2Own yarışmasında seyirciyi gösterdi. yan yana iki Galaxy S III tutarak bir NFC (Yakın Alan İletişimi) bağlantısı üzerinden yararlanın.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Bu te chnique, hedeflenen S III'e bir dosya yüklenir. Dosya daha sonra otomatik olarak açılır ve tam izin alır, yani saldırganın telefon üzerinde tam kontrolü vardır, MWR'de güvenlik araştırmacısı Tyrone Erasmus. Uygulama arka planda çalışır, böylece kurban saldırıdan habersizdir.

Saldırgan, örneğin tüm SMS mesajlarına, resimlere, e-postalara, iletişim bilgilerine ve çok daha fazlasına erişir. Avantajlar çok ilerlemiş, bu yüzden saldırganlar “temelde bu telefondan her şeyi yapabilirler” dedi.

'dan bu yana, istismar Galaxy S II, S III’de varsayılan yüklü bir uygulama olarak gelen bir belge görüntüleyici uygulamasına yöneliktir. Bazı HTC telefonları, araştırmacılar söyledi. Hangi özel uygulamanın hedeflendiğini söyleyemezler çünkü başkalarının istismardan yararlanmasını istemediler. Araştırmacılar, güvenlik açığının hem S II hem de S III üzerinde test edildiğini ve her iki telefonda da çalıştıklarını söylediler.

Bununla birlikte, savunmasızlığın başka şekillerde de kullanılabileceği belirtilmelidir. Veri yükü verileri örneğin bir e-posta mesajına eklenebilir ve indirildiklerinde aynı etkiye sahip olabilirler.

“NFC'yi showmanship için kullandık,” diyen Erasmus, NFC kullanarak insanların hedef alınabileceğini belirtti. Onlar sadece potansiyel bir saldırganı geçtiklerinde. Telefonların birbirine çok yakın olmalarına rağmen, neredeyse neredeyse dokunmaya gerek kalmadan, veri yükü verilerinin yüklenmesi için çok kısa bir bağlantıya ihtiyaç duyulur, ardından bir Wi-Fi bağlantısı kurulabilir, böylece saldırganın hedeflenen telefondan bilgi indirmesine izin verilir. Araştırmacılar dedi.

MWR ekibi, diğer ödüllerde 30.000 $ kazandı. Hack'in teknik detayları, Samsung'u, yarışmayı düzenleyen HP DVLabs'ın Sıfır Gün Girişimi (ZDI) tarafından açıklanacak. Bu meydana geldiğinde, hata muhtemelen düzeltilecektir, araştırmacılar dedi.

“Bunun çok tehlikeli bir tehdit unsuru olduğunu düşünüyorum,” diyen EUSecWest organizatörü Dragos Ruiu, bunun özellikle istismarın ölçeğinden çok etkilendiğini söyledi.. Çoğu Pwn2Own hack, sadece bir cep telefonunun tarayıcı gibi belirli bir bölümünü kullandığını söyledi. “Telefonun tam sahibini gösterdiler; Bu istisnai bir durumdur, ”dedi Ruiu.