Китайская команда Keen Team одержала победу на ежегодных соревнованиях для хакеров Pwn2Own, проходящих в Токио. Группа экспертов, состоящая из восьми человек, продемонстрировала два способа эксплуатации ранее неизвестных уязвимостей в браузере Safari на смартфонах iPhone.
Эксперты из Keen Team продемонстрировали, как с удивительной легкостью можно эксплуатировать уязвимости для получения доступа к учетным данным в соцсетях и другим личным данным. Активные пользователи социальных сетей должны призадуматься о своей безопасности.
Команда представила два эксплоита для уязвимостей в Safari на iPhone 5, первый из которых позволил получить доступ к учетным данным для входа в Facebook на iOS 7.0.3, второй – похитить фотографии в iOS 6.1.4. Примечательно то, что телефоны не были взломаны. На эксплуатацию обеих уязвимостей хакером потребовалось около 10 минут.
В первом случае через Safari эксперты получили доступ к cookie-файлам Facebook, которые затем были использованы для компрометации целевой учетной записи при помощи компьютера. Пользователь получал письмо или SMS, содержащее ссылку. При помощи социальной инженерии эксперты заставили его пройти по этой ссылке, в результате чего получили доступ к его учетным данным.
Это послужило отличным наглядным примером для тех, кто не задумываясь предоставляет свои учетные данные сторонним непроверенным источникам.
Во втором случае экспертам потребовалось немного больше времени из-за технических осложнений. Keen Team получили доступ к фотографиям, хранившимся на устройстве пользователя. Для того, чтобы действия хакеров увенчались успехом, пользователь, как и в первом случае, должен был кликнуть по ссылке.
Apple была уведомлена об обнаруженных Keen Team брешах, и компания работает над их устранением.
В состав Keen Team вошли эксперты: Дэниэл Ван (Daniel Wang), Джеймс Фан (James Fang), Лян Чен (Liang Chen) и Ву Ши (Wu Shi). Хакеры стали первой китайской командой, победившей на Pwn2Own.
Смотрите также: