Galaxy S III bị tấn công qua NFC tại cuộc thi Mobile Pwn2Own

Samsung Galaxy S III có thể bị tấn công qua NFC, cho phép kẻ tấn công tải xuống tất cả dữ liệu từ điện thoại thông minh Android, các nhà nghiên cứu bảo mật đã chứng minh trong cuộc thi Mobile Pwn2Own tại Amsterdam hôm thứ Tư.

Một cuộc khai thác Galaxy S III được thử nghiệm trong Mobile Pwn2Own ở Amsterdam.

Các nhà nghiên cứu từ công ty bảo mật MWR Labs đã cho khán giả xem cuộc thi Mobile Pwn2Own tại hội nghị an ninh EUSecWest. khai thác qua kết nối NFC (Giao tiếp trường gần) bằng cách giữ hai Galaxy S III cạnh nhau.

[Đọc thêm: Cách xóa phần mềm độc hại khỏi máy tính Windows của bạn]

Sử dụng te này chnique, một tập tin được nạp vào S III mục tiêu. Các tập tin sau đó sẽ tự động mở và được quyền đầy đủ, có nghĩa là kẻ tấn công có toàn quyền kiểm soát điện thoại, giải thích Tyrone Erasmus, nhà nghiên cứu bảo mật tại MWR. Ứng dụng chạy ở chế độ nền để nạn nhân không biết về vụ tấn công, anh ta bổ sung.

Kẻ tấn công, chẳng hạn, truy cập vào tất cả tin nhắn SMS, hình ảnh, email, thông tin liên hệ và nhiều hơn thế nữa. Các nhà nghiên cứu cho biết, tải trọng rất tiên tiến, vì vậy những kẻ tấn công có thể “làm bất cứ điều gì trên điện thoại đó”, các nhà nghiên cứu cho biết. một số điện thoại HTC, các nhà nghiên cứu cho biết. Họ sẽ không nói ứng dụng cụ thể nào được nhắm mục tiêu bởi vì họ không muốn người khác tận dụng lợi thế của việc khai thác. Lỗ hổng này đã được thử nghiệm trên cả S II và S III, và làm việc trên cả hai điện thoại, họ nói.

Cần lưu ý rằng lỗ hổng cũng có thể được khai thác theo những cách khác, các nhà nghiên cứu cho biết. Ví dụ, dữ liệu tải trọng có thể được đính kèm vào một email và có cùng tác dụng khi tải xuống, chúng nói.

"Chúng tôi đã sử dụng phương pháp NFC để trình diễn", Erasmus cho biết. khi họ chỉ đơn giản là đi qua một kẻ tấn công tiềm năng. Mặc dù điện thoại phải ở rất gần nhau nhưng chỉ cần một kết nối rất ngắn để tải lên dữ liệu tải trọng, sau đó có thể thiết lập kết nối Wi-Fi, cho phép kẻ tấn công tải xuống thông tin từ điện thoại được nhắm mục tiêu, Các nhà nghiên cứu cho biết.

Nhóm MWR giành được 30.000 đô la trong số các giải thưởng khác cho việc hack của họ. Các chi tiết kỹ thuật của bản hack sẽ được tiết lộ cho Samsung bởi Sáng kiến ​​Zero Day (ZDI) của HP DVLabs, tổ chức cuộc thi này. Khi đó đã xảy ra lỗi có thể sẽ được sửa chữa, các nhà nghiên cứu nói.

"Tôi nghĩ đây là một yếu tố nguy hiểm rất nguy hiểm", ông Dragos Ruiu, người tổ chức của EUSecWest, cho biết thêm.. Hầu hết các tấn công Pwn2Own chỉ khai thác một phần cụ thể của điện thoại di động, như trình duyệt, ông nói. “Họ thể hiện đầy đủ quyền sở hữu của điện thoại; Ruiu.

Các nhà nghiên cứu bảo mật Hà Lan đã tấn công iPhone 4S trước đó trong cuộc thi Pwn2Own, cho thấy một trang web độc hại có thể gửi tất cả ảnh, dữ liệu sổ địa chỉ và lịch sử duyệt web trên điện thoại đến máy chủ như thế nào sự lựa chọn của kẻ tấn công bằng cách khai thác một lỗ hổng trong công cụ WebKit của Safari.