10-летняя девочка обнаружила «уязвимость нулевого дня» Опции

[RedMagic]

Не так давно в Лас-Вегасе прошла конференция DEFCON, которая ежегодно собирает тысячи хакеров под одной крышей. На мероприятие съехались как взрослые профессионалы, так и начинающие звезды мира хакеров, для которых было проведено специальное мероприятие под названием DEFCON Kids.



Среди детей нашлось немало «светлых голов». Так, 10-летняя девочка, называющая себя CyFi, поведала собравшимся о новом типе уязвимостей в мобильных играх. Она лично обнаружила угрозу, когда от скуки начала экспериментировать с популярными играми.

CyFi (свое настоящее имя она так и не сообщила) играла в «фермерскую игрушку» - ту, в которой нужно кормить домашних питомцев, выращивать и собирать урожай, а потом продавать его, получая за это деньги на дальнейшее развитие своей фермы. Таких игрушек сейчас действительно много. В один прекрасный момент девочке надоело ждать, когда же созреет морковка (а в большинстве игр для этого нужно подождать некоторое время), и она решила обмануть игрушку. CyFi начала переводить часы на телефоне, в надежде, что игра засчитает их как «прошедшие». После долгих мытарств результат был достигнут. Несмотря на то, что в большинстве игр такое не проходит, юной хакерше удалось одурачить авторов. Она нашла рецепт успеха: часы надо переводить часто, но на небольшие отрезки. Вдобавок, необходимо отключить WiFi-соединение.

Уязвимость, обнаруженная девочкой, может представлять собой угрозу для владельцев смартфонов, поскольку ее могут использовать злоумышленники с целью получения конфиденциальной информации об аппарате и его обладателе.

Специалисты по безопасности подтвердили существование угрозы. С ней могут столкнуться как владельцы моделей iPhone, так и обладатели смартфонов на Android. Какие именно игры являются опасными – озвучено не было, дабы дать их разработчикам время на устранение уязвимости.

Устроители DEFCON Kids наградили денежным призом ребенка, нашедшего за 24 часа наибольшее количество игр, подверженных уязвимости, о которой сообщила CyFi.

---

PS: Кто не знает что такое "Уязвимость нулевого дня" - читайте википедию.

[Васько]

[Shoкer]

Эм, а причём здесь перевод часов и потеря конфиденциальных данных

[[Ork]]

ниочём

[RedMagic]

Эм, а причём здесь перевод часов и потеря конфиденциальных данных

Ну о деталях ясное дело не сообщают, в целях безопасности, но я так понял что если переводить время часто и на небольшие отрезки то некоторые приложения можно одурачить ускорив ихние некоторые процессы.Видимо перевод часов заставляет некоторые приложения как то раскрывать конфиденциальную информацию.А теперь на счет последствий: вредоносная программа будет сама переводить часы, добывать информацию и пересилать её своему хозяину.Возможно уязвимость и более критична, но нам известно только то что написано выше.
PS: Для размышлений, а если часы переводить назад?

[Shoкer]

Большинству приложений начхать на время, да и не совсем ясно как такую уязвимость можно юзать. По сути перевод времени лишь изменения одного числового коэфицента, и влиять ни на что так сильно он не может. Похоже на утку.

[VIGUR]

Суть в том, что при переводе часов "на ферме" у игрока будет быстрее расти "капуста" и виртуальная, и реальная. А это большие убытки для компаний.

[Dimon]

Суть в том, что при переводе часов "на ферме" у игрока будет быстрее расти "капуста"

Да надо быть мега хакером, чтоб это обнаружить

Сообщение отредактировал Dimon - 09.08.2011, 17:11

[RedMagic]

Суть в том, что при переводе часов "на ферме" у игрока будет быстрее расти "капуста"

Да надо быть мега хакером, чтоб это обнаружить

Тем не менее никто это до сих пор не обнаружил на андроиде

[vinc]

Суть в том, что при переводе часов "на ферме" у игрока будет быстрее расти "капуста"

Да надо быть мега хакером, чтоб это обнаружить

Тем не менее никто это до сих пор не обнаружил на андроиде

Уж сколько эксполитов на андройд написали и сколько денег было затырено у обладателей зеленого вертера через левые приложения... какая там ферма )
Хотя может просто на андройде меньше играют в эту фантазию подмосковного дачника.

Сообщение отредактировал vinc - 09.08.2011, 17:32

[Dante]

Честно говоря я и раньше так делал, только в других играх и не на адроиде и знаете, получалось же ведь.
В той же опере мини вы не сможете зайти куда-либо пока у вас стоит неверная дата,тк сервер будет считать что у вас устаревшие сертификаты )

[Modera]

Хы, я в 10 игрушку крякнул нафиг

[Da Man]

OMG! Тоже мне зиро дей уязвимость. Индусы нагавнокодят и называют это уязвимостью. У разработчиков этого говна индусизм головного мозга - это же надо додуматься проверять завершение операции по системному времени!

[Odell Burncastle]

Кстати, ведь когда-то некоторые (только тссс) читерили в Minecraft переводом часов. Сейчас это уже не работает.

[Bill]

Девочка настоящий кулхацкер! Обнаруженная ею уязвимость нанесла большой удар по безопасности государства. За ней уже выехали.

Сообщение отредактировал Bill - 10.08.2011, 12:55

[SiPlus]

А в движке Source gpGlobals->curtime на клиенте зависит от времени на компе? Так же можно предиктинг обмануть.