モバイル端末を対象としたハッキングコンペ「Pwn2Own」は日本で初めて開催され、日本と中国の研究者チームがGalaxy S4とiOSの脆弱性を発見した。
モバイルデバイスを対象とするハッキングコンペ「Mobile Pwn2Own 2013」が11月13日、都内で開催され、日本のセキュリティ研究者チームがSamsung Galaxy S4のプリインアプリに存在する脆弱性を用いた攻撃を実証した。同チームには賞金4万ドルが贈呈された。
Pwn2Ownは、米Hewlett−Packard(HP)が主催する世界的なセキュリティのハッキングコンペとして知られ、Webブラウザなどカテゴリ別の大会が毎年行われている。モバイルデバイスを対象にした大会は今回が2回目となり、日本では初めて。セキュリティカンファレンスの「PacSec 2013」と併催された。
日本からは、三井物産セキュアディレクションの専門家3人による「TEAM of MBSD」が参加。Galaxy S4にプリインストールされている複数のアプリの脆弱性を突くアプリを使って特権を奪取し、端末へ別のアプリをインストールしたり、連絡先やブックマーク、SMSメッセージなどの内容を盗聴したりできてしまう様子を紹介した。
実際に脆弱性を突くマルウェアのアプリをユーザーの端末に送り込むには、攻撃者が不正サイトを用意し、ユーザーに閲覧させる必要があるとしている。
また、コンペには中国のKEENチームも参加し、iOS 6および7に存在する2件の脆弱性を突いた攻撃を実証。iOS 7の脆弱性ではログインの認証機構を迂回できてしまうといい、iOS 6では端末の不正操作やデータの搾取などが行えてしまうという。同チームには賞金2万7500ドルが贈呈された。チームのメンバーは、「Jailbreakすることなく、情報を搾取できてしまうため、プライベートやビジネスシーンで深刻なリスクになるだろう」と指摘した。
主催したHP Zero Day Initiativeのブライアン・ゴーンズ氏は、「今回は端末へ物理的にアクセス可能な条件を加えるなど実践的なものにした。アジアの優秀な研究者チームに参加してもらうことができ、成功裏に終えることができた」とコメントしている。
日中のチームが発見した脆弱性に関する情報はSamsungとAppleに提供され、今後両社が修正パッチ提供などの対応が行われるとみられている。
Copyright © ITmedia, Inc. All Rights Reserved.