Chiếc smartphone Android mới toanh được Google ra mắt cách đây vài tháng đã bị tin tặc Trung Quốc hack chỉ trong chưa đầy một phút.
Vâng, điện thoại thông minh Pixel mới nhất của Google đã bị tấn công bởi một nhóm tin tặc mũ trắng từ Qihoo 360, bên cạnh cuộc thi hack PwnFest 2016 ở Seoul.
Nhóm Qihoo 360 đã trình diễn một khai thác bằng chứng khái niệm sử dụng lỗ hổng zero-day để thực thi mã từ xa (RCE) trên điện thoại thông minh mục tiêu.
Sau đó, việc khai thác đã khởi chạy Cửa hàng Google Play trên điện thoại thông minh Pixel trước khi mở Google Chrome và hiển thị một trang web có nội dung “Pwned By 360 Alpha Team”, phương tiện truyền thông Reg đưa tin.
Qihoo 360 đã giành được giải thưởng tiền mặt trị giá 120.000 đô la khi hack Pixel.
Google hiện sẽ làm việc để vá lỗ hổng bảo mật.
Bên cạnh Google Pixel, Microsoft Edge chạy trên Windows 10 cũng bị hack trong cuộc thi hack PwnFest.
Nhóm Qihoo 360 cũng đã tấn công Adobe Flash bằng sự kết hợp của lỗ hổng zero-day đã tồn tại hàng thập kỷ, sau khi sử dụng miễn phí và lỗ hổng nhân win32k để giành được giải thưởng trị giá 120.000 USD.
Học cách bảo vệ phạm vi nhận dạng – Các chiến lược đã được chứng minh
Cải thiện bảo mật doanh nghiệp của bạn với hội thảo trực tuyến về an ninh mạng do chuyên gia hướng dẫn sắp tới của chúng tôi: Khám phá các chiến lược Vành đai nhận dạng!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Cùng với hacker JH, nhóm bẻ khóa iPhone Trung Quốc Pangu, nhóm đã phát hành miễn phí các bản bẻ khóa iOS trị giá hàng triệu đô la, đã phát hiện ra một khai thác Safari sử dụng lỗ hổng zero-day leo thang đặc quyền, cấp cho họ quyền truy cập root trên trình duyệt Safari cập nhật của Apple chạy trên MacOS Sierra chỉ trong một phút. 20 giây.
Khai thác đã kiếm được cho nhóm 80.000 đô la.
Tin tặc xâm phạm Microsoft Edge chỉ trong 18 giây
Các nhà nghiên cứu từ Qihoo 360 và nhà nghiên cứu bảo mật Hàn Quốc Junghoon Lee, hay còn gọi là LokiHardt, đã hack hoàn toàn trình duyệt web Microsoft Edge hoạt động trên Windows 10 Red Stone 1 chỉ trong 18 giây.
Các chuyên gia bảo mật đã đạt được khả năng thực thi mã từ xa ở cấp HỆ THỐNG trên Edge, mặc dù họ từ chối tiết lộ chi tiết về lỗ hổng cho đến khi các nhà cung cấp bị ảnh hưởng đưa ra bản sửa lỗi. Cả hai nhà nghiên cứu đã kiếm được 140.000 đô la cho việc khai thác Edge của họ.
Một nhóm tin tặc khác của Qihoo và Lee, lần đầu tiên, đã xâm nhập từ xa VMware Workstation 12.5.1 mà không có sự tương tác của người dùng, bỏ túi 150.000 đô la cho các lần khai thác của họ.
Chi tiết về tất cả các khai thác sẽ được báo cáo cho các công ty có uy tín để họ có thể vá phần mềm của mình trước khi tin tặc mũ đen sử dụng chúng cho mục đích xấu.
Nhóm tin tặc Qihoo 360 đã ra đi với tổng số tiền thưởng là 520.000 USD.
