iPhone X, Samsung Galaxy S9, Xiaomi Mi6 - mind elesett a Pwn2Own 2018 mobil biztonsági vetélkedőjén

 ( trey | 2018. november 15., csütörtök - 12:56 )

Részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Szerintem az esik el az ilyen teszteken, amiket tesztelnek.
Lefordítva: minden sebezhetö.

--
robyboy

> minden sebezhető

pláne, ha még a neve is MI6

:D

Ebben minden évben az a legeslegdurvább, hogy ezek versenyzők civilek, profi amatőrök, szakemberek, stb, de nem egy cia, nsa, fszb, cisco, unit 8200. Ha ők így nyilvánosan 18 0day sebezhetőséggel mindent felnyomnak akkor nincs magán élet vagy magán adat. Nem létezik olyan, ahol nincs ott egy cég vagy egy állami szervezet füle és ennél csak rosszabb lesz. Az elrettentő szörnyű példa erre Kína, a fallal, a pontrendszerrel, a totális zartlancu megfigyeléssel.

Egyetértenék... de pont az ilyen szakemberek megtartásához pénz kell. Pl idehaza sem triviális egy ilyen kaliberű szakembert megtartani noha sokat változott a világ az elmúlt 7-8 évben. Nyilván ahol van pénz ez teljes mértékben igaz.

A security cégek leginkább veszik külsősöktől ezeket a bugokat. Jobban megéri nekik az egyszeri kiadás, mint havi fizut adni ezeknek a hekkereknek.
--

Nem is erre gondolok. Olyan szervezetek akiknek az erőforrásai végetlenek, maradjunk egyszerűen az nsa-nél aki megfigyelésre és adatfeldolgozásra képes 140 000 m2 adatközpontot építeni ha éppen egy picit bővíteni kell, az mekkora erőforrással és tudással rendelkezhet a 0day kutatásban, mekkora erőforrással és eredménnyel rendelkezhet az ezek tömeges kihasználására. Ha ebből indulunk ki akkor
Mark Zuckerberg leragazgatása nagyon is megalapozott annak ellenére, hogy az összes lehetséges security eszköz a kamerája mögött van gyakorlatilag csak face control, a minket megfigyelő személyek és szervezetek közt vagyis ha valaki elég nagy, akkor láthat és tudhat mindent és lát és tud is mindent nem csak odaát.

miert olyat meglepo szamodra ez? Kerdezd mar meg valakitool, hogy hany eve vanak BIX-ben az allamnak szekrenyei, pont jol elhelyezve...
A nagy testver itthon is mukdik.

Az idok es a technikak valtozhatnak a kormanyok nem, ralatast akarnak mindig es mindekor mindenre.

Mar a hetvenes evekben "lehallgattak" a teljes USA telefonforgalmat, marmint olyan szinten, hogy ra tudtak keresni bizonyos szavakra. Ez volt 50 eve.

Amugy miert MI6? A MI6 kb pillanatnyi koztes allpot volt. Bar, ketsegtelen, neve miatt lehetett helye a versenyzok kozott es eleg sokat eladtak belole.

Amugy jo, hogy NFC kikapcsolva, es kb senki nem hasznalni a MIUI sajat bongeszojet :)

*ásít*
Csak a szokásos, kérem menjenek tovább...
--
"Sose a gép a hülye."

Mert az újabb jobb™.

Minden ilyen vetélkedő azt bizonyítja, hogy a világon semmi értelme nincsen biztonságtudatosságból frissítgetni oprendszert, alkalmazást, vagy új készüléket venni. Az új fejlesztések új hibákat hoznak be, az erőltetett frissítések pedig a biztonság hamis illúzióját keltik a felhasználóban.

Igy van.
Persze azert annyiban van ertelme, hogy a mar neten korozo "regi" serulekenysegeket talan ki lehet vele vedeni, de az ujak folyamatosan jonnek elo.
Nyilvan egy uj serulekenyseg krealojanak nem erdeke, hogy ez kideruljon, csak miutan mar lenyulta belole a hasznat.

Nincs így.

A régi sérülékenységeket ismered, azok ellen tudsz valamilyen módon védekezni, felhasználói tudatossággal. Az új sérülékenységeket (amik a régiben nincsenek benne) nem ismered. Azok ellen, ha akarsz se tudsz védekezni. A folyamatos frissítés hamis biztonságérzetet ad mindaddig, amíg új fícsöröket is tolnak be a frissítésekkel együtt, ugyanis azzal újra és újra betolnak egy rakat új hibát.

A jó rendszer a stable, LTS rendszer, amire már csak javítások és biztonsági frissítések érkeznek, új fícsörök nem. Így a benne lévő, már felfedezett és felfedezhető hibák száma monoton csökken.

A másik meg, hogy a fősodor által hangoztatottakkal ellentétben, egy egyáltalán nem frissített rendszer nem kevésbé biztonságos, mint egy fícsörökkel frissített rendszer. Sőt utóbbi esetben nagyobb a rizikófaktor, mert számodra totál ismeretlen felületen hekkelnek meg 0-day sebezhetőséggel, míg egy régi, már nem frissített rendszer hiányosságait nagyjából ismerjük. Lehet rájuk építeni. Kikapcsolni, vagy korlátozni a sebezhető szolgáltatásokat.