iPhone X, Samsung Galaxy S9, Xiaomi Mi6 - mind elesett a Pwn2Own 2018 mobil biztonsági vetélkedőjén

Részletek itt.

Hozzászólások

Szerintem az esik el az ilyen teszteken, amiket tesztelnek.
Lefordítva: minden sebezhetö.

--
robyboy

Ebben minden évben az a legeslegdurvább, hogy ezek versenyzők civilek, profi amatőrök, szakemberek, stb, de nem egy cia, nsa, fszb, cisco, unit 8200. Ha ők így nyilvánosan 18 0day sebezhetőséggel mindent felnyomnak akkor nincs magán élet vagy magán adat. Nem létezik olyan, ahol nincs ott egy cég vagy egy állami szervezet füle és ennél csak rosszabb lesz. Az elrettentő szörnyű példa erre Kína, a fallal, a pontrendszerrel, a totális zartlancu megfigyeléssel.

Nem is erre gondolok. Olyan szervezetek akiknek az erőforrásai végetlenek, maradjunk egyszerűen az nsa-nél aki megfigyelésre és adatfeldolgozásra képes 140 000 m2 adatközpontot építeni ha éppen egy picit bővíteni kell, az mekkora erőforrással és tudással rendelkezhet a 0day kutatásban, mekkora erőforrással és eredménnyel rendelkezhet az ezek tömeges kihasználására. Ha ebből indulunk ki akkor
Mark Zuckerberg leragazgatása nagyon is megalapozott annak ellenére, hogy az összes lehetséges security eszköz a kamerája mögött van gyakorlatilag csak face control, a minket megfigyelő személyek és szervezetek közt vagyis ha valaki elég nagy, akkor láthat és tudhat mindent és lát és tud is mindent nem csak odaát.

Amugy miert MI6? A MI6 kb pillanatnyi koztes allpot volt. Bar, ketsegtelen, neve miatt lehetett helye a versenyzok kozott es eleg sokat eladtak belole.

Amugy jo, hogy NFC kikapcsolva, es kb senki nem hasznalni a MIUI sajat bongeszojet :)

*ásít*
Csak a szokásos, kérem menjenek tovább...
--
"Sose a gép a hülye."

Mert az újabb jobb™.

Minden ilyen vetélkedő azt bizonyítja, hogy a világon semmi értelme nincsen biztonságtudatosságból frissítgetni oprendszert, alkalmazást, vagy új készüléket venni. Az új fejlesztések új hibákat hoznak be, az erőltetett frissítések pedig a biztonság hamis illúzióját keltik a felhasználóban.

Nincs így.

A régi sérülékenységeket ismered, azok ellen tudsz valamilyen módon védekezni, felhasználói tudatossággal. Az új sérülékenységeket (amik a régiben nincsenek benne) nem ismered. Azok ellen, ha akarsz se tudsz védekezni. A folyamatos frissítés hamis biztonságérzetet ad mindaddig, amíg új fícsöröket is tolnak be a frissítésekkel együtt, ugyanis azzal újra és újra betolnak egy rakat új hibát.

A jó rendszer a stable, LTS rendszer, amire már csak javítások és biztonsági frissítések érkeznek, új fícsörök nem. Így a benne lévő, már felfedezett és felfedezhető hibák száma monoton csökken.

A másik meg, hogy a fősodor által hangoztatottakkal ellentétben, egy egyáltalán nem frissített rendszer nem kevésbé biztonságos, mint egy fícsörökkel frissített rendszer. Sőt utóbbi esetben nagyobb a rizikófaktor, mert számodra totál ismeretlen felületen hekkelnek meg 0-day sebezhetőséggel, míg egy régi, már nem frissített rendszer hiányosságait nagyjából ismerjük. Lehet rájuk építeni. Kikapcsolni, vagy korlátozni a sebezhető szolgáltatásokat.