Hai chuyên gia bảo mật châu Âu đã chiến thắng trong cuộc thi Pwn2Own sau khi chỉ mất đúng 20 giây để đột nhập thành công và đánh cắp dữ liệu SMS của một chiếc iPhone.
|
Đột nhập hệ thống SMS trên iPhone chỉ cần 20 giây. Ảnh minh hoạ. |
Trong cuộc thi hack thường niên có tên Pwn2Own, 2 chuyên gia nghiên cứu về bảo mật Vincenzo Iozzo và Ralf Philipp Weinmann đã chấp nhận thử thách của ban tổ chức, tấn công vào một chiếc điện thoại iPhone đã được vá tất cả những lổ hổng. Kết quả là chỉ sau 20 giây, họ đã đột nhập thành công vào hệ thống cơ sở dữ liệu tin nhắn (SMS) của chiếc iPhone và có thể đọc thoải mái những nội dung trong đó, kể cả những SMS đã bị người dùng xóa đi.
Theo tiết lộ của 2 người thắng cuộc, họ đã thành công nhờ vào một lỗ hổng chưa được công bố và đã viết được một đoạn mã để khai thác lỗ hổng đó.
Thất bại lớn nhất của vụ hack này là họ đã khiến cho trình duyệt web trên iPhone bị “treo” nhưng Weinmann cho biết điều đó không quá khó vì chỉ cần có thêm một vài giây nữa anh có thể hack thành công mà vẫn giữ cho trình duyệt hoạt động bình thường.
Cơ chế của vụ tấn công này là đột nhập vào trình duyệt, tự động chuyển hướng truy cập của người dùng đến một website giả mạo do tác giả dựng lên. Khi truy cập vào website đó, toàn bộ dữ liệu SMS trong chiếc iPhone sẽ tự động được chuyển lên máy chủ, kể cả những SMS đã bị xóa.
Weinmann, 32 tuổi, đến từ trường đại học Luxembourg hợp tác cùng với Iozzo – chuyên gia nghiên cứu về bảo mật người Italia mới chỉ 22 tuổi. Họ cho biết đã mất 2 tuần để viết ra chương trình khai thác lỗ hổng trên chiếc iPhone.
Halvar Flake, một chuyên gia nổi tiếng trong lĩnh vực bảo mật cho rằng “thắng lợi” lớn nhất của 2 tác giả này là họ đã vượt qua được cơ chế xác thực mã mà Apple đã áp dụng trên iPhone.
“Điều này cho thấy kẻ tấn công không cần phải đột nhập quá sâu mà vẫn “gây đủ thiệt hại” cho chủ nhân của chiếc iPhone”, Flake nói.
Chuyên gia Aaron Portnoy của TippingPoint Zero Day Initiative (công ty tài trợ cho cuộc thi Pwn2Own), đã miêu tả vụ tấn công này là “rất ấn tượng”.
Weinmann và Iozzo đã nhận được khoản tiền thưởng 15.000 USD và giữ lại iPhone mà họ đã hack thành công.
Theo ICTnews