Prohlížeče dostanou hackery před telefony v bezpečnostní show

Mobilní zařízení se ve středu objevily na konferenci zabezpečení CanSecWest, ale byly to chyby prohlížečů, které dostaly veškerou pozornost na populární hackerské soutěži.

Organizátoři konferencí vyzvali účastníky, aby objevili útoky zaměřené na dříve neznámé chyby v prohlížečích nebo mobilních zařízení v soutěži Pwn2Own. Na konci prvního dne byly všechny aplikace Internet Explorer, Safari a Firefox hacknuty, ale nikdo se nedokázal vypořádat s pěti mobilními zařízeními, přestože sponzor soutěže TippingPoint vyplácí 10 000 USD za mobilní chybu, dvakrát to, co platí za chyby prohlížeče.

Za to, že útoky se počítaly, hackeři museli použít chyby, aby dostali kód, který by se spustil na stroji. Chyby, které byly odhaleny v rámci soutěže, se ověřují firmou TippingPoint a poté jsou předány příslušným dodavatelům softwaru, které mají být opraveny.

[Další informace: Nejlepší Android telefony pro každý rozpočet.]

Prvním prohlížečem, který se vydal, byl prohlížeč Safari společnosti Apple se systémem Macintosh. V loňském roce zvítězil Charlie Miller do Macu pomocí chyby, kterou našel při přípravy na loňský závod. Ačkoli Millerův Apple hacking mu dal hodně pozornosti, Safari je snadný cíl, řekl v rozhovoru hned po jeho hacknutí. "Tam je spousta chyb."

Internet Explorer společnosti Microsoft se však nehodlal lépe vylepšit. Další hacker, který se označil za organizátory pouze jako Nils, brzy napadl Internet Explorer 8. Nils pak zaplatil hackery v místnosti tím, že rozpoutal exploity pro Safari a Firefox.

Miller řekl, že nebyl překvapen, když viděl mobilní telefony bez útoku. Za prvé, pravidla týkající se útoků na mobilní telefony byla přísná, což vyžaduje, aby zneužívání pracovalo s prakticky žádnou interakcí uživatele. V následujících dnech se tato omezení uvolní a hackerům poskytne další možnosti útoku.

Nicméně, Miller říká, že rozbíjení do mobilních zařízení, jako je iPhone, je "těžší" než počítačový hacker. Ačkoli vědci v oblasti bezpečnosti, jako je Miller, mohou mít zájem o chytré telefony právě teď, dosud nebylo mnoho výzkumů a dokumentace o tom, jak napadnout mobilní platformy. "Nerozumí tomu, aby to bylo snadné," uvedl Miller.

Ale to se může změnit, podle Ivana Arče, technologického ředitele společnosti Core Security Technologies

Zatímco probíhala soutěž Pwn2Own, výzkumníci z firmy Arce hovořili v jiné konferenční místnosti, která demonstrovala program, který napsali, který by mohli útočníci použít, jakmile se jim podaří hacknout do mobilního telefonu. Zajímavou věcí o softwaru Corec je to, že může fungovat jak na Apple iPhone, tak na Google Android, což ukazuje, že zločinci by mohli teoreticky napsat jeden kus kódu, který by fungoval na obou platformách.

V posledních měsících výzkum v mobilních zařízeních "Arce řekl:" Existuje několik faktorů, které činí telefony atraktivními cíli, "řekl Arce. Za prvé se otevírají a mohou provozovat stále více a více softwarů třetích stran. Tradiční telefonní společnosti mají velmi těsnou kontrolu nad aplikacemi, které běží v jejich sítích - společnost AT & T zpočátku argumentovala, že telefony třetích stran by přerušily svou síť. Dnes potřebuje 25 milionů amerických dolarů a Gmail adresu pro vývoj aplikací pro Android.

V jiném rozhovoru o mobilních bezpečnostních systémech v říjnu ukázal student z University of Michigan Jon Oberheide, jak by uživatelé Androidu mohli být podvedeni k instalaci škodlivých aplikací Útočník používající to, co je známo jako útok "man-in-the-middle".

Telefony jsou silnější, rozšířenější a levnější než osobní počítače a často obsahují důležitá data a poskytují hackerům finanční podnět, aby jeli za nimi, Řekl Arce