مكافآت بأكثر من 100 ألف دولار لكشف ثغرات في الأندرويد و iOS

Security exploits for Android and iOS fetch hackers $117,500 in bounties

بلغ إجمالي المكافآت التي حصل عليها الباحثين الأمنيين و المخترقين الذين اكتشفوا ثغرات في نظامي التشغيل الأندرويد و iOS حوالي 117500 دولار.

وكانت أكبر الجوائز المالية الفردية تبلغ 50 ألف دولار وحصل عليها الشاب الذي لم يبلغ 21 عام و الملقب بـ Pinkie Pie، وكان قد حصل على جائزتين أيضاً في مجال كشف الثغرات الأمنية خلال السنة والنصف الماضية.

وكان قد اكتشف ثغرة في متصفح كروم حيث تتيح له التحكم الكامل بكمبيوتر الضحية بعد قيامه بزيارة موقع مصمم خصيصاً كفخ يتيح تفعيل الثغرة.

وفي مسابقة Pwn2Own 2013 الشهيرة للأمن والحماية وكشف الثغرات التي أقيمت في طوكيو هذا الأسبوع استخدم نفس التقنية ضد متصفح كروم للتحكم بهاتفي نيكسوس 4 و جالاكسي اس 4 العاملين بنظام أندرويد.

وبفضل تقنية sandbox التي تعمل على إحتواء محتوى صفحة الويب المصابة ببرمجيات خبيثة ما يصعب المهمة أمام المهاجمين لتطوير تقنيات جديدة لكشف الثغرات تتجاوز هذه التقنية.

وبحسب المسؤولين عن مسابقة Pwn2Own فإن الثغرة المكتشفة تستفيد من نقطتين ضعف في متصفح كروم وبالعمل معاً عليهما فإنها تتجاوز تقنية sandbox الأمنية في المتصفح.

وعن تطبيق الثغرة المكتشفة على نقطة الضعف في المتصفح قال أنه يمكنه تنفيذ شيفرة عن بعد للتحكم بأجهزة الضحية.

وحصل فريق من القراصنة اليابانيين على جائزة 40 ألف دولار لإكتشاف ثغرتين تمكن الإستفادة من تطبيقات خبيثة يتم تنصيبها على هاتف جالاكسي اس 4، وبعد أن يتصفح المستخدم موقع يتحكم به القراصنة فإنه يمكنهم الوصول إلى بيانات حساسة مخزنة على الجهاز بما فيها جهات الإتصال و المفضلات و سجل التصفح و لقطات الشاشة والرسائل النصية.

وعن نظام iOS فإن مجموعة من الصين حصلت على جائزة 27500 دولار لإكتشاف ثغرة في متصفح سفاري حيث تتيح للمخترق الحصول على إعتمادية تسجيل الدخول من جهاز الآيفون العامل بنسخة 7.0.3 من النظام وذلك عبر إستخدام ملفات كوكيز خاصة بإعطاء الموثوقية للحساب تمت سرقتها من الهاتف، وبعدها يمكن للقراصنة أن ينقلوا تلك الملفات من جهاز إلى آخر واستخدامها للدخول إلى حساب المستخدم.

وهناك ثغرة اخرى في متصفح سفاري على iOS 6.1.4 والتي سمحت للقراصنة بالوصول إلى الصور المخزنة على الجهاز وأيضاً لا يطلب من المستخدم سوى زيارة موقع مصمم لتفعيل الثغرة.

المصدر

تعليقات عبر الفيسبوك