Onderzoekers demonstreren iPhone X-jailbreak tijdens wedstrijd
Tijdens de Tianfu Cup in China hebben onderzoekers onbekende kwetsbaarheden in onder andere Google Chrome, Microsoft Edge, Oracle VirtualBox, Adobe Reader, Microsoft Office, Safari en de iPhone X gedemonstreerd. Ook lieten onderzoekers tijdens de hackwedstrijd een jailbreak van de iPhone X zien.
Via een jailbreak is het mogelijk om beperkingen van Apple te omzeilen en bijvoorbeeld applicaties van buiten de Apple App Store te installeren. Volgens de organisatie van de Tianfu Cup is het voor het eerst dat er een jailbreak tijdens een hackwedstrijd wordt gedemonstreerd. Details over de kwetsbaarheden zijn niet vrijgegeven. Alle leveranciers worden ingelicht zodat ze een beveiligingsupdate kunnen ontwikkelen.
De Tianfu Cup is de Chinese tegenhanger van Pwn2Own, een andere wedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden. Tijdens het evenement dat vorige week in Chengdu plaatsvond was er een prijzengeld van iets meer dan 1 miljoen dollar, dat ook volledig werd uitgekeerd.
De hoogste beloning van 200.000 dollar was voor onderzoekers van 360 Security die een jailbreak van de iPhone X demonstreerden. De aanval werd via een kwetsbaarheid in Safari uitgevoerd en maakte ook gebruik van een beveiligingslek in de iOS-kernel. Verder lieten onderzoekers kwetsbaarheden in Google Chrome en Microsoft Edge zien waardoor het mogelijk is om op afstand code uit te voeren.
Volgens de organisatie is er ook voor het eerst tijdens een hackwedstrijd een succesvolle aanval op Microsoft Office gedemonstreerd. Naast de iPhone X lieten onderzoekers ook aanvallen tegen de OPPO R17-, Vivo x23- en Xiaomi Mi8-smartphones zien. Elf van de dertien doelwitten waar onderzoekers zich op konden richten zijn tijdens het evenement gecompromitteerd. Alleen tegen Mozilla Firefox en Microsoft Remote Desktop werden geen aanvallen gedemonstreerd.
Voor hun demonstraties maakten de onderzoekers gebruik van 30 onbekende kwetsbaarheden. In totaal werd er 1.024.000 dollar aan prijzengeld uitgekeerd. Alle betrokken partijen zijn over de beveiligingslekken geïnformeerd. Wanneer er beveiligingsupdates zullen verschijnen is nog niet bekend.
Het primaire idee van een website is toch informatie overdracht naar de gebruiker?
Het omgekeerde?
Werkelijk?
Maar als dat zo is dan is dat niet voldoende, de functies in het Office product zelf bieden al decennia lang voldoende functionaliteit die misbruikt blijven worden.
Iets met embedden en activeervraagjes.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.