Exploity dla Pixela: koniec przechwałek o bezpieczeństwie porównywalnym z iPhonem

Nie wiadomo, po co Google przechwalało się bezpieczeństwemswoich nowych smartfonów Pixel, które rzekomo miały dorównać wtej kwestii iPhone’om. Fantazje Adriana Ludwiga, dyrektorabezpieczeństwa Androida w Mountain View szybko zostałyzweryfikowane przez chińskich hakerów podczas drugiego dnia imprezyPwnFest 2016 na konferencji Powerof Community w Seulu. Udało im się zdalnie uruchomić kod naflagowcu Google’a, każąc otwarcie zapytać – czy w pełnibezpieczny Android w ogóle jest możliwy? Słabość Pixeli jest tymwyraźniejsza, że nowego iPhone’a 7 z iOS-em 10 na PwnFest 2016nie złamał nikt, mimo że nagroda była atrakcyjna,wynosiła łącznie 180 tys. dolarów.

Alpha Team, zespół chińskich whitehatów z firmy Qihoo 360,zademonstrował atak, którego przeprowadzenie zajmuje raptem 60sekund. Jak zwykle szczegółów nie ujawniono nikomu pozaproducentem, ale najwyraźniej znów wykorzystuje jakiś błąd wChrome. Exploit uruchomił sklep Google Play, a następnie otworzyłChrome, wyświetlając stronę internetową z komunikatem o przejęciu(„pwned by 360 Alpha Team”). Nagroda za złamanie Pixela to 120tys. dolarów.

Atak ten może mieć coś wspólnego z pierwszym publiczniezademonstrowanym exploitem na Pixela, na imprezie Pwn2Own w Japonii.Odpowiedzialny za niego był zespół Keen Team z firmy Tencent,dawał on dostęp napastnikom do wszystkich informacjiprzechowywanych w smartfonie.Google poinformowało, że wykorzystanawówczas luka została załatana w ciągu 24 godzin i udostępniona waktualizacji do stabilnej gałęzi wydań Chrome.

Zgodnie z oczekiwaniami uległa także przeglądarka Safari (uruchomiona na najnowszym macOS-ie Sierra). Tupopisali się chińscy hakerzy z Pangu Team, dobrze znani z robieniajailbreaków na iOS-a. Ich exploitowi zajęło 20 sekund nauruchomienie własnego kodu, i to z uprawnieniami roota. Nagrodawyniosła 80 tys. dolarów.

Jak się można było spodziewać ofiarą ataków padł takżeFlash Player na Windowsie 10. Znów autorami exploita byli ludzie zQihoo. Wykorzystali w swoim ataku błąd w kernelu Windowsa i jakiśbardzo stary błąd z use-after-free. W nagrodę dostali 120 tys.dolarów.

Łącznie Chińczycy z Qihoo zabiorą do domu 520 tys. dolarów zaswoje starania, radząc sobie w ciągu dwóch dni konkursu zMicrosoft Edge, VMware Workstation, Androidem i Flashem. To świetnyzespół – nic dziwnego, że antywirus Qihoo, 360Total Security, w testach antywirusów uzyskuje czołowe wyniki.