コミュニティの力金曜日にソウルで開催されたハッキングコンテスト「PwnFest」で、Google Pixel は Apple Safari や Adobe Flash とともに中国ハッカーチームに敗北した。
マウンテンビューの最新の攻撃は、Qihoo 360 のホワイトハット フレンドリーによって阻止され、彼らは未公開の脆弱性を利用してリモート コード実行を獲得し、12 万ドルの賞金を獲得しました。
このエクスプロイトは、Chrome を開いて「Pwned By 360 Alpha Team」という Web ページを表示する前に、Google Play ストアを起動しました。
Google は、Keen チームが発見した Chrome のバグは事件発生後 24 時間以内に修正され、変更内容はすでに Chrome チームによって安定版ブランチにリリースされていると述べた。
Pixel が侵害されたのはここ数週間で 2 度目となる。
ピクセル、乗っ取られる
まだパッチが適用されていない最初のゼロデイ脆弱性は、日本で開催された Mobile Pwn2Own イベントで、Qihoo 360 のライバルである Tencent の Keen チームによって開発されました。
ハッカーたちは今日、ソウルで行われたPwnFestハッキングイベントでこの脆弱性を披露し、連絡先、写真、メッセージ、通話など、携帯電話のあらゆる側面を侵害する方法を示した。
YouTubeビデオ
macOS Sierraで動作するAppleのアップデート版Safariブラウザも影響を受けました。数百万ドル相当の永続的な最新iOS脱獄ツールを無料で公開することで知られる、中国の著名なハッカー集団Pangu Teamは、ハッカーのJHと共に、実行に20秒しかかからないルート権限昇格ゼロデイ攻撃でクパチーノのウェブブラウザを攻撃し、8万ドルの賞金を獲得しました。
Qihoo 360 はまた、指を動かすだけで Adobe Flash に侵入し、10 年前の use-after-free のゼロデイ脆弱性と win32k カーネルの脆弱性を掘り起こして 12 万ドルを獲得しました。
フラッシュが落ちるまでに4秒かかりました。
このハッキングにより、PwnFest の隠蔽工作は終了する。木曜日には Microsoft Edge がハッキングされ、VMWare Workstation に対する初のゼロデイ攻撃も発生した。
Qihoo 360 のハッカーは 52 万ドルの賞金を獲得しました。®
