ISAC Cambodia (InfoSec)
GeneralSecurity NewsVulnerability

0-Days Found in iPhone X, Samsung Galaxy S9, Xiaomi Mi6 Phones

នៅក្នុងព្រឹត្តិការណ៍ប្រកួតប្រជែងហេគចូលឧបករណ៍ចល័ត Pwn20wn 2018 mobile hacking competition ដែលបានប្រព្រឹត្តិទៅនាទីក្រុង Tokyo កាលពីថ្ងៃទី ១៣-១៤ ខែវិច្ឆិកា កន្លងទៅនេះ ក្រុម white-hat hackers បានបញ្ចេញសមត្ថភាពរបស់ពួកគេក្នុងការហេគចូលទៅក្នុងស្មាតហ្វូន ដែលដំណើរការនូវប្រព័ន្ធប្រតិបត្តិការចុងក្រោយបង្អស់។

ស្មាតហ្វូនចំនួនបីប្រភេទត្រុវបានហេគ គឺ iPhone X, Samsung Galaxy S9 និង Xiaomi Mi6 នៅក្នុងការប្រកួតមួយដែលត្រូវបានរៀបចំដោយក្រុមហ៊ុន Trend Micro មានឈ្មោះថា Zero Day Initiative (ZDI) ដែលរង្វាន់ដែលឈ្នះសរុបមានចំនួន $325,000 ។

អ្នកវាយប្រហារជាច្រើនក្រុម មកពីបណ្តាប្រទេសជាច្រើន ឬក៏តំណាងឲ្យក្រុមហ៊ុនសន្តិសុខ IT បានរកឃើញនូវចំនុចខ្សោយ Zero-days សរុបចំនួន ១៨ នៅក្នុងឧបករណ៍ចល័តដែលផលិតដោយ Apple, Samsung, និង Xiaomi ក៏ដូចជាបង្កើតកូដដើម្បីធ្វើការគ្រប់គ្រងឧបករណ៍នោះទាំងស្រុងផងដែរ។

Apple iPhone X Running iOS 12.1 — GOT HACKED!

ក្រុមអ្នកស្រាវជ្រាវ Fluoroacetate ដែលមានលោក Richard Zhu និង Amat Cama បានរកឃើញចំនុចខ្សោយចំនួនពីរ និងវាយលុកបានជោគជ័យទៅលើ Apple iPhone X តាមរយៈ​ Wi-Fi។ ជាការបង្ហាញឲ្យកាន់តែច្បាស់ ពួកគាត់បានធ្វើការទាញយករូបភាពដែលបានលប់ចេញពីក្នុង iPhone ហើយបង្ហាញដល់ម្ចាស់រូបទៀតផង។ ពួកគាត់ទទួលបានរង្វាន់ចំនួន ៥មឺុនដុល្លា។

Samsung Galaxy S9 — Also, GOT HACKED!

ក្រៅពី iPhone X ក្រុម Fluoroacetate ក៏បានហេគចូល Samsung Galaxy S9 ដោយការវាយលុកចូលទៅកាន់ memory heap overflow នៅក្នុង baseband component ហើយទាញយកនូវកូដដើម្បីដំណើរការ។ ក្រុមនេះទទួលបានប្រាក់រង្វាន់ចំនួន ៥មឺុនដុល្លា ។

ចំនុចខ្សោយបីផ្សេងទៀតត្រូវបានរកឃើញដោយក្រុម MWR Labs ដែលធ្វើការវាយលុកដោយជោគជ័យទៅលើ Samsung Galaxy S9 តាមរយៈ Wi-Fi ដោយការបង្ខំឲ្យឧបករណ៍នោះតំឡើងកម្មវិធីណាមួយតាមតែខ្លួនចង់បាននៅលើ Samsung Galaxy S9 នោះ។ MWR Labs ទទួលបានប្រាក់រង្វាន់បីមឺុនដុល្លា។

Xiaomi Mi6 — Yes, This Too GOT HACKED!

ក្រុម​ Fluoroacetate ក៏បានធ្វើការវាយលុកដោយជោគជ័យទៅលើ Xiaomi Mi6 តាមរយៈ NFC (near-field communications) ដែលទទួលបានរង្វាន់ចំនួន បីមឺុនដុល្លាផងដែរ។

ក្នុងថ្ងៃទី២នៃការប្រកួត ក្រុម​ Fluoroacetate ក៏បានជោគជ័យវាយលុកទៅលើចំនុចខ្សោយនៅក្នងុ JavaScript engine នៃ web browser របស់ Xiaomi Mi6 smartphone ដែលអាចឲ្យពួកគេធ្វើការចំលងយករូបភាពចេញពីក្នុងឧបករណ៍ផងដែរ។ ចំនុចខ្សោយនេះពួកគេរកប្រាក់បាន $25,000 ។

MWR Labs ក៏បានធ្វើការវាយលុកទៅលើ Xiaomi Mi6 smartphone ដោយរួមបញ្ចូលនូវកំហុសឆ្គងចំនួន ៥ ផ្សេងគ្នាដើម្បីធ្វើការតំឡើងកម្មវិធីរបស់ខ្លួនតាមរយៈ JavaScript ហើយរំលងនូវ application whitelist ហើយដំណើរការ App​ ដោយស្វ័យប្រវត្តិ។ ដើម្បីសម្រេចបាននូវការវាយលុកនេះ ក្រុមរបស់គាត់ដំបូងឡើយធ្វើការបង្ខំឲ្យ Xiaomi Mi6 phone’s default web browser ចូលទៅកាន់វេបសាយមិនល្អ (malicious website) ក្នុងខណៈពេលដែលទូរស័ព្ទនោះភ្ជាប់ទៅកាន់ Wi-Fi server ដែលគ្រប់គ្រងដោយពួកគាត់។ ក្រុមនេះទទួលបានប្រាក់រង្វាន់ចំនួន $30,000 ។

ជាមួយគ្នានេះផងដែរ ក្រុម MWR បានធ្វើការបូកបញ្ចូលគ្នានូវ download flaw ជាមួយនឹងការតំលើង App ដើម្បីធ្វើការចំលងនូវរូបភាពចេញពីក្នងឧបករណ៍។ ក្រុមនេះទទួលបាន $25,000 បន្ថែមទៀត។

អ្នកស្រាវជ្រាវម្នាក់ទៀតគឺលោក Michael Contreras​ បានធ្វើការវាយលុកទៅលើចំនុចខ្សោយនៃ JavaScript ដើម្បីដំណើរការនូវកូដនៅលើ Xiaomi Mi6 handset ដែលគាត់អាចរកប្រាក់បាន $25,000៕

ប្រភព៖

https://thehackernews.com/2018/11/mobile-hacking-exploits.html

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button