Sårbarheder fundet i flere telefoner på tværs af producenter
Professionelle hackere har formået at finde huller i sikkerheden hos tre af de største smartphoneproducenter i verden. Samsung, Apple og Xiaomi har alle fået udstillet sårbarheder i deres software.
Læs også: Google strammer krav om sikkerhedsopdateringer
Der har i alle tilfælde været tale om planlagte angreb i forbindelse med en konkurrence. Det vil sige, at sårbarhederne endnu ikke er blevet udnyttet i et decideret angreb på almindelige brugere.
Skadelig kode i Samsung Galaxy S9 og fem succesfulde angreb på Xiaomi Mi6
De planlagte angreb skete i forbindelse med Pwn2Own-konkurrencen i Tokyo, hvor flere hold af professionelle hackere dyster mod hinanden i den ædle kunst, at hacke sig ind i forbrugerelektronik. Og her var en duo bestående af Richard Zhu og Amat Cama særdeles succesfulde.
Duoen formåede at hacke sig ind i en Samsung Galaxy S9 og efterlade en skadelig kode. Med andre ord, de fik plantet en virus. Hvad den pågældne virus har af skadelig effekt melder historien ikke noget om. Også et hold bestående af forskere fra F-Secure har formået at bryde igennem Samsungs sikkerhed. Her melder man dog ikke noget om, hvordan angrebet blev udført og hvilke konsekvenser det medfører.
Værre så det ud med Xiaomi Mi6. Zhu og Cama formåede at sætte hele fem succesfulde angreb ind på telefonen. Blandt andet gennem en svaghed i telefonens NFC, hvor duoen formåede at åbne webbrowseren og tilgå hjemmesider efter behag. Også her lykkedes det holdet fra F-Secure at sætte et succesfuldt angreb ind. F-Secure formåede at bryde ind i Xiaomi Mi6 via WiFi og plante en skadelig software. Herefter lykkedes det også holdet at køre softwaren.
iCloud-filer sårbare overfor angreb
Også Apple blev udsat for angreb fra hackerne, her fandt man både svagheder i Safari browseren og i iCloud. Helt specifikt lykkedes det for Richard Zhu og Amat Cama at få adgang til billeder der var blevet slettet på en iPhone. Svagheden ligger primært hos brugere af iCloud. Når en fil er blevet slettet på en iOS enhed ligger den i en “nyligt slettede”-mappe i iCloud, forudsat at brugeren både bruger iCloud og har tilgængelig plads i skyen. Filer slettet fra fysiske enheder kan ligge i skyen i op til 40 dage, og det er her at det lykkedes for duoen at downloade de ellers slettede billeder. Angrebet blev udført på en iPhone X, men sikkerhedsbristen gælder alle enheder med iOS 12.1. Under konkurrencen brugte Zhu og Camat billeder som eksempel, men det er i princippet alle filtyper der er udsatte.
Som belønning for deres succesfulde angreb vandt duoen tilsammen 215.000 dollars på tværs af udfordringerne.
Som følge af reglementet er alle producenter blevet gjort opmærksomme på de opdagede svagheder, men eventuelle rettelser i sikkerheden kommer først med fremtidige softwareopdateringer.