[Galaxy S3] NFC ReTAG
Samsung Galaxy S III kan hackes via NFC, slik at angripere kan laste ned alle data fra Android-smarttelefonen, demonstrerte sikkerhetsforskere under Mobile Pwn2Own-konkurransen i Amsterdam onsdag.
Forskere fra sikkerhetsselskapet MWR Labs viste publikum på Mobile Pwn2Own-konkurransen på EUSecWest-sikkerhetskonferansen at det er mulig å stråle en utnytte over en NFC-forbindelse (Near Field Communication) ved å holde to Galaxy S IIIer ved siden av hverandre.
[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]Bruke denne te Chnique, en fil er lastet på den målrettede S III. Filen åpnes da automatisk og får full tillatelser, noe som betyr at angriperen har full kontroll over telefonen, forklarte Tyrone Erasmus, sikkerhetsforsker ved MWR. Appen kjører i bakgrunnen, så offeret er uvitende om angrepet, la han til.
Angriperen får for eksempel tilgang til alle SMS-meldinger, bilder, e-post, kontaktinformasjon og mye mer. Lastebelastningen er svært avansert, så angriperne kan "i utgangspunktet gjøre noe på den telefonen", sa forskerne.
Utnyttelsen er rettet mot en dokumentvisningsapplikasjon som kommer som en standard installert app på Galaxy S II, S III og noen HTC-telefoner, sa forskerne. De ville ikke si hvilken spesifikk app er målrettet fordi de ikke ville at andre skulle dra nytte av utnyttelsen. Sårbarheten ble testet både på S II og S III, og arbeidet på begge telefonene, sa de.
Det skal imidlertid bemerkes at sårbarheten også kan utnyttes på andre måter, sa forskerne. Lastbelastningsdataene kan for eksempel være knyttet til en e-postmelding og har samme effekt når de lastes ned, sa de.
"Vi brukte NFC-metoden for showmanship", sa Erasmus, som la til at ved hjelp av NFC betyr at folk kan målrettes når de bare går forbi en potensiell angriper. Selv om telefonene må være svært nær hverandre - nesten berøre - er det bare nødvendig med en veldig kort forbindelse for å laste opp nyttelastdataene, hvoretter en Wi-Fi-forbindelse kan etableres, slik at angriperen kan laste ned informasjon fra den målrettede telefonen, forskerne sa.
MWR-laget vant $ 30 000 blant andre premier for deres hack. De tekniske detaljene til hack vil bli avslørt til Samsung ved Zero Day Initiative (ZDI) av HP DVLabs, som organiserte konkurransen. Når det har skjedd, vil feilen trolig bli løst, sa forskerne. "Jeg tror dette er en svært farlig trusselfaktor," sa Dragos Ruiu, organisator av EUSecWest, som la til at han var spesielt imponert over omfanget av utnyttelsen. De fleste Pwn2Own hackene utnytter bare en bestemt del av en mobiltelefon, som nettleseren, sa han. "De demonstrerte full eigendom av telefonen; Det er eksepsjonelt, sier Ruiu.
Hollende sikkerhetsforskere hacket en iPhone 4S tidligere på onsdag i samme Pwn2Own-konkurranse, og viser hvordan en ondsinnet nettside kan sende alle bilder, adressebokdata og nettleserhistorikk på telefonen til en server av angriperens valg ved å utnytte et hull i Safari's WebKit-motor.
Gjør banker konkurranse om innskuddene dine
I MoneyAisles auksjoner i realtid bidrar bankene på sertifikater for innskudd og sparekontoer.
Apples hevede Safari-nettleser ble hacket i 5 sekunder på 2011 års PC-hackingkonkurranse. En fransk penntestfirma VUPEN hacket Apples Safari-nettleser ved hjelp av en nulldag feil for å vinne den ettertraktede Pwn2Own-hackerutfordringen.
I år ble nettleseren rettet mot den nyeste utgivelsen kandidat (på konkurransestidspunktet) Følgende produkter:
Hva er nfc og hvordan du bruker det på nfc-aktivert Android-enhet
Veiledende teknikk forklarer: Hva er NFC og hvordan du kan bruke det på din NFC-aktiverte Android-telefon eller nettbrett.