Phóng to |
Các hacker đang cùng theo dõi trình diễn từ Chaouki Bekrar, đại diện thuộc nhóm Vupen (trái) - Ảnh: Pwn2Own HP |
Hội thảo Pwn2Own thường tập trung các bài diễn thuyết công bố lỗi bảo mật của các trình duyệt web được sử dụng phổ biến hiện nay, và công đoạn trình diễn khai thác lỗi luôn là màn hấp dẫn nhất. Pwn2Own được tài trợ bởi Công ty HP và tổ chức bởi đơn vị nghiên cứu lỗi 0-day của HP (Zero-Day Initiative).
Tại Pwn2Own năm nay, tất cả trình duyệt web tên tuổi như Google Chrome, Mozilla FireFox, Microsoft Internet Explorer hay phần mềm Adobe Flash, Adobe Reader đều không đủ sức "sống sót" trước hacker. Tổng số tiền thưởng đã trao cho các cá nhân và nhóm hacker công bố lỗi bảo mật lên đến 850.000 USD, kèm số tiền 82.500 USD từ thiện chuyển thẳng đến Hội Chữ thập đỏ Canada.
Chrome bị hạ bởi nhóm hacker Pháp VUPEN, nổi tiếng với việc khai thác, bán lỗi bảo mật kiếm bộn tiền. Lỗi ảnh hưởng trong bộ WebKit và công cụ biên dịch Blink. Nhóm VUPEN "ẵm gọn" đến 300.000 USD với năm lỗi bảo mật trong Flash, Reader, FireFox, Internet Explorer 11 và Chrome.
Nhóm chuyên gia bảo mật Google đã trình diễn một lỗi trong trình duyệt Safari của Apple, thực thi công cụ Calculator với quyền quản trị trên hệ điều hành OS X. |
Khả năng bảo mật của "con cưng" Apple bị đánh bại bởi một hacker người Trung Quốc mang tên Liang Chen, một trong những thành viên của nhóm hacker người Trung Quốc Keen Team, kết hợp hai kỹ thuật tấn công phức tạp, có thể vượt qua cả "hộp không gian an toàn" (sandbox) trong Safari.
Theo nhận định từ Liang Chen trả lời phỏng vấn ThreatPost, "hệ điều hành của Apple được biết đến như là một sản phẩm an toàn và có một vi kiến trúc bảo mật tốt. Thậm chí đã nắm trong tay một lỗ hổng cũng thật khó để khai thác nó".
Liang Chen đã trình diễn khai thác lỗi trong Safari, mà theo anh mất ba tháng để tìm ra cách thức phối hợp hai kỹ thuật tấn công vào lỗ hổng bảo mật. Ngoài ra, Liang Chen cho biết trên CNET, hệ điều hành Apple OS X khó tấn công hơn hệ điều hành di động iOS 7.0 vì Apple thường cập nhật bản vá lỗi bảo mật cho hệ điều hành trên desktop thường xuyên hơn cho bản iOS trên thiết bị di động.
Phóng to |
Liang Chen (phải) đang trình diễn khai thác lỗi với ban tổ chức Pwn2Own 2014 - Ảnh: Pwn2Own HP |
Liang Chen thuộc nhóm Keen Team cùng một hacker Trung Quốc khác là Zeguang Zhao từ nhóm team509 cũng khám phá ra lỗi trong Adobe Flash, cho phép thực thi mã độc hại.
FireFox có vẻ "bội thu" lỗi khi có nhiều lỗi được công bố. George Hotz, tên tuổi nổi tiếng trong giới bảo mật, công bố một lỗi quan trọng của "Cáo lửa" (FireFox), tiếp sau đó là hai chuyên gia nghiên cứu bảo mật Jüri Aedla và Mariusz Mlynski.
Các công ty có sản phẩm bị "hạ gục" đều bắt đầu tích cực nghiên cứu khắc phục, chuẩn bị phát hành bản vá lỗi trước khi thông tin khai thác lỗi nguy hiểm bị phát tán rộng rãi, gây nguy hiểm cho người dùng.
* Bạn đang sử dụng trình duyệt web nào trên máy tính hoặc thiết bị di động?
Pwn2Own (Pwn to own - hạ gục để sở hữu) là cuộc thi hack được tổ chức hằng năm tại thành phố Vancouver (bang British Columbia, Canada). Các hacker tham gia cuộc thi sẽ phải tìm cách khai thác và phát hiện các lỗ hổng bảo mật cũng như tấn công các phần mềm phổ biến thông qua các lỗ hổng bảo mật đó. Giải thưởng sẽ là tiền mặt kèm theo thiết bị (laptop, smartphone) mà họ đã hack được. Những lỗ hổng mà hacker phát hiện sẽ được các nhà phát triển phần mềm ghi nhận và khắc phục. |
Tối đa: 1500 ký tự
Hiện chưa có bình luận nào, hãy là người đầu tiên bình luận