Car-tech

गैलेक्सी एस III मोबाइल Pwn2Own प्रतियोगिता में एनएफसी के माध्यम से हैक किया गया

Mobistar E1 सेल्फी गूगल खाते बाईपास (एफआरपी) अनलॉक

Mobistar E1 सेल्फी गूगल खाते बाईपास (एफआरपी) अनलॉक
Anonim

सैमसंग गैलेक्सी एस III को एनएफसी के माध्यम से हैक किया जा सकता है, जिससे हमलावर एंड्रॉइड स्मार्टफोन से सभी डेटा डाउनलोड कर सकते हैं, मोबाइल Pwn2Own प्रतियोगिता के दौरान प्रदर्शित सुरक्षा शोधकर्ताओं एम्स्टर्डम में बुधवार को।

एम्स्टर्डम में मोबाइल Pwn2Own के दौरान एक गैलेक्सी एस III शोषण का परीक्षण किया जाता है।

सुरक्षा कंपनी एमडब्ल्यूआर लैब्स के शोधकर्ताओं ने EUSecWest सुरक्षा सम्मेलन में मोबाइल Pwn2Own प्रतियोगिता में श्रोताओं को दिखाया कि यह बीम होना संभव है एक दूसरे के बगल में दो गैलेक्सी एस III आयोजित करके एक एनएफसी (पास फील्ड कम्युनिकेशन) कनेक्शन पर शोषण करें।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

इस टी का उपयोग करना chnique, एक लक्षित लक्षित एस III पर एक फ़ाइल लोड किया जाता है। फाइल को स्वचालित रूप से खोला जाता है और पूर्ण अनुमति मिलती है, जिसका अर्थ है कि हमलावर के पास फोन पर पूर्ण नियंत्रण होता है, एमडब्ल्यूआर में सुरक्षा शोधकर्ता टायरोन इरास्मस ने बताया। ऐप पृष्ठभूमि में चलता है ताकि पीड़ित हमले से अनजान है।

हमलावर, उदाहरण के लिए, सभी एसएमएस संदेशों, चित्रों, ईमेल, संपर्क जानकारी और बहुत कुछ तक पहुंच प्राप्त करता है। शोधकर्ताओं ने कहा कि पेलोड बहुत उन्नत है, इसलिए हमलावर "मूल रूप से उस फोन पर कुछ भी कर सकते हैं।"

शोषण का उद्देश्य एक दस्तावेज़ दर्शक अनुप्रयोग है जो गैलेक्सी एस II, एस III पर एक डिफ़ॉल्ट स्थापित ऐप के रूप में आता है। कुछ एचटीसी फोन, शोधकर्ताओं ने कहा। वे यह नहीं कहेंगे कि कौन सा विशिष्ट ऐप लक्षित है क्योंकि वे नहीं चाहते थे कि दूसरों को शोषण का लाभ उठाना पड़े। शोधकर्ताओं ने कहा कि भेद्यता को एस II और एस III दोनों पर परीक्षण किया गया था, और दोनों फोनों पर काम किया था।

हालांकि यह ध्यान दिया जाना चाहिए कि भेद्यता का भी अन्य तरीकों से शोषण किया जा सकता है। उदाहरण के लिए, पेलोड डेटा एक ईमेल संदेश से जुड़ा हुआ हो सकता है और डाउनलोड होने पर भी वही प्रभाव पड़ सकता है।

"हमने शोषण के लिए एनएफसी विधि का इस्तेमाल किया," ने कहा कि एनएफसी का मतलब है कि लोगों को लक्षित किया जा सकता है जब वे बस एक संभावित हमलावर से पहले चलते हैं। हालांकि फोन एक दूसरे के बहुत करीब होना चाहिए-लगभग पिक्सिंग डेटा अपलोड करने के लिए केवल एक बहुत ही संक्षिप्त कनेक्शन की आवश्यकता होती है, जिसके बाद एक वाई-फाई कनेक्शन स्थापित किया जा सकता है, जिससे हमलावर लक्षित फोन से जानकारी डाउनलोड कर सकता है, शोधकर्ताओं ने कहा।

एमडब्ल्यूआर टीम ने अपने हैक के लिए अन्य पुरस्कारों के बीच 30,000 डॉलर जीते। हैक का तकनीकी विवरण एचपी डीवीएलएब्स के शून्य दिवस पहल (जेडीआई) द्वारा सैमसंग को खुलासा किया जाएगा, जिसने प्रतियोगिता का आयोजन किया था। जब यह हुआ है तो बग शायद तय किया जाएगा, शोधकर्ताओं ने कहा।

"मुझे लगता है कि यह एक बेहद खतरनाक खतरा कारक है," यूसुसेवेस्ट के आयोजक ड्रेगोस रुइयू ने कहा, जो उन्होंने विशेष रूप से शोषण के पैमाने से प्रभावित हुए । उन्होंने कहा कि अधिकांश Pwn2Own हैक्स केवल ब्राउज़र की तरह एक मोबाइल फोन का एक विशिष्ट हिस्सा का फायदा उठाते हैं। "उन्होंने फोन का पूरा स्वामित्व प्रदर्शित किया; यह असाधारण है, "रुईयू ने कहा।

डच सुरक्षा शोधकर्ताओं ने बुधवार को एक ही Pwn2Own प्रतियोगिता के दौरान एक आईफोन 4 एस को हैक किया, यह दिखाता है कि कैसे एक दुर्भावनापूर्ण वेब पेज सर्वर पर सभी चित्रों, पता पुस्तिका डेटा और ब्राउज़िंग इतिहास को सर्वर पर भेज सकता है सफारी के वेबकिट इंजन में एक छेद का शोषण करके हमलावर की पसंद का।