Экспертам удалось заработать больше $100 тыс. за взлом Google Pixel

19 января

На прошлогоднем конкурсе Pwn2Own Google Pixel оказался единственным смартфоном, который не удалось взломать участникам. Однако специалисты команды Qihoo 360 смогли выявить ряд уязвимостей, совместная эксплуатация которых позволяет удаленно выполнить код на Pixel и других Android-устройствах.

Разработанный исследователями эксплоит основан на двух уязвимостях: CVE-2017-5116 и CVE-2017-14904. Первая представляет собой уязвимость несоответствия используемых типов данных (type confusion) в движке JavaScript с открытым исходным кодом V8, ее можно использовать для удаленного выполнения кода в изолированном обработчике Chrome. Google исправила эту уязвимость в сентябре прошлого кода с выпуском Chrome 61.

Вторая проблема затрагивает модуль libgralloc в Android и может быть проэксплуатирована для выхода из окружения «песочницы». Данная уязвимость была устранена в декабре 2017 года. Совместное использование двух вышеописанных уязвимостей позволяет атакующему внедрить произвольный код в процесс system_server. Для этого злоумышленнику потребуется заставить жертву посетить вредоносный сайт.

За цепочку эсплоитов команда заработала $105 тыс. в рамках программы Android Security Rewards (ASR) и еще $7,5 тыс. по программе вознаграждения за найденные уязвимости в Chrome. Подробности эксплуатации уязвимостей представлены в блоге исследователей.


Другие новости

16 ноября

Федеральная налоговая служба сообщила, когда предприниматели на ЕНВД смогут использовать новую форму налоговой декларации для оформления вычета за покупку кассовой техники.

23 октября

Нарушители будут привлекаться к дисциплинарной ответственности, а контрактники — досрочно уволены.

23 октября

Лига безопасного интернета предложила ввести ответственность для соцсетей и поисковиков за запрещенный контент.

23 октября

В некоторых случаях затраты на мобильный интернет достигают $385.