Hackerano Google Pixel e guadagnano 120 mila dollari in 60 secondi

  • Pubblicato: 14/11/2016
Hackerano Google Pixel e guadagnano 120 mila dollari in 60 secondi

 A pochi mesi dal debutto dei Google Pixel un gruppo di hacker cinesi ha scoperto una vulnerabilità sugli smartphone che consente di hackerare il sistema in meno di un minuto. Gli hacker white-hat di Qihoo 360 sono stati i protagonisti dell'impresa, mostrata nella competizione PwnFest 2016 tenutasi negli scorsi giorni a Seoul. Il team ha mostrato un exploit proof-of-concept per eseguire codice da remoto sul dispositivo sfruttando una vulnerabilità 0-day presente.

Una volta ottenuti i permessi l'exploit ha lanciato il Google Play Store sullo smartphone poco prima di aprire il browser Chrome per visualizzare una pagina web contenente la scritta "Pwned by 360 Alpha Team". Nessun problema per gli utenti dei due smartphone, almeno per il momento, visto i white-hat sono hacker etici che non sfruttano attivamente le vulnerabilità ma le scoprono affinché le società possano lavorare su eventuali fix e mettere definitivamente al sicuro gli utenti.

Grazie all'exploit dei Google Pixel e all'exploit di Adobe Flash sfruttando una falla 0-day vecchia di una decade e una vulnerabilità nel kernel win32k il team Qihoo 360 ha vinto un premio di 120.000 dollari in contanti e Google è attualmente al lavoro per rilasciare una patch per arginare il problema ed eliminare la vulnerabilità sugli smartphone. Al PwnFest i white-hat non hanno solo assediato Big G, ma hanno anche "bucato" Microsoft Edge, il nuovo browser di Microsoft proposto nativamente su Windows 10 e considerato come fra i più sicuri disponibili sulla piazza.

Fra gli altri vincitori il team Pangu, celebre creatore di varie versioni di jailbreak per iPhone, ha guadagnato 80 mila dollari per aver effettuato un exploit su Safari sfruttando una falla 0-day che consente la scalata dei privilegi su macOS Sierra, dando così pieno accesso ai permessi di root sul sistema operativo in appena 20 secondi. I dettagli delle vulnerabilità sono naturalmente ancora ignoti dal momento che per la divulgazione si attende il rilascio di un fix da tutte le società coinvolte in modo che i bug non possano essere sfruttati attivamente.

Il team di hacker Qihoo 360 ha guadagnato complessivamente 520 mila dollari all'interno della competizione PwnFest 2016.


  • hp
  • intel
  • dell
  • fujitsu
  • gigaset
  • synology
  • veeam
  • vmware
  • zyxel
-->