Web Apps

Dispozitivele mobile au avut loc miercuri la conferința de securitate CanSecWest, dar au fost bug-uri de browser care au atras atenția asupra concursului popular de hacking al show-ului.

Organizatorii conferinței au invitat participanții să afișeze atacuri care au vizat defectele necunoscute anterior în browsere sau dispozitive mobile în concursul anual Pwn2Own al emisiunii. Până la sfârșitul primei zile, Internet Explorer, Safari și Firefox au fost toate hacked, dar nimeni nu a făcut o fisură la cele cinci dispozitive mobile pentru a le apuca, chiar dacă sponsorul concursului, TippingPoint, plătește 10.000 USD pentru un bug mobil, de două ori pe ce plătește pentru defectele browserului.

Pentru ca atacurile să conteze, hackerii trebuiau să utilizeze bug-urile pentru a obține codul pentru a rula pe mașină. Bugurile descoperite prin concurs sunt verificate de TippingPoint și apoi sunt predate furnizorilor de software asociate care urmează să fie patch-uri.

[Citește mai departe: cele mai bune telefoane Android pentru fiecare buget.]

Primul browser care mergea a fost browser-ul Apple Safari care rulează pe un Macintosh. Câștigătorul concursului de anul trecut, Charlie Miller a lovit repede în Mac folosind un bug pe care la găsit în timp ce se pregătea pentru evenimentul de anul trecut. Deși hacking-ul lui Miller ia dat o mare atenție, Safari este o țintă ușoară, a spus el într-un interviu imediat după hack-ul său. "Există o mulțime de bug-uri acolo."

Internet Explorer-ul Microsoft nu a fost mult mai bun, totuși. Un alt hacker, care sa identificat doar cu organizatorii ca Nils, a spart curând Internet Explorer 8. Nils a uimit apoi hackerii din cameră, dezlănțuindu-și exploatațiile pentru Safari și Firefox.

Miller a spus că nu a fost surprins să vadă telefoanele mobile merg fără atac. Pentru un singur lucru, regulile care reglementează atacurile telefonului mobil erau stricte, necesitând ca exploatarea să funcționeze fără aproape nicio interacțiune cu utilizatorul. În zilele următoare, aceste restricții se vor slăbi, oferind hackerilor mai multe căi de atac. Totuși, Miller spune că spargerea în dispozitive mobile precum iPhone este "mai dificilă" decât hacking-ul PC-ului. Deși cercetătorii de securitate, cum ar fi Miller, ar putea fi interesați de telefoanele inteligente chiar acum, până în prezent nu a existat o mulțime de cercetări și documentații despre cum să atace platformele mobile. "Nu reușesc să facă cercetări în acest sens", a spus Miller.

Dar acest lucru se poate schimba, potrivit lui Ivan Arce, tehnician șef al tehnologiei Core Security Technologies

În timp ce concursul Pwn2Own se desfășura, cercetătorii companiei Arce vorbeau într-o altă sală de conferințe, demonstrând un program pe care l-au scris, care ar putea fi folosit de atacatori odată ce au reușit să se hrănească într-un telefon mobil. Interesant despre software-ul corecode Core este că poate rula atât pe iPhone-ul Apple cât și pe Google Android, arătând că infractorii ar putea scrie teoretic câte o bucată de cod care să ruleze pe ambele platforme.

În ultimele luni, cercetarea în domeniul dispozitivelor mobile și a ajuns recent la un "punct de atracție", unde ar putea apărea mai multe atacuri de succes, a spus Arce.

Există mai mulți factori care fac ca telefoanele să fie ținte atractive, a spus Arce. În primul rând, se deschid și pot rula din ce în ce mai multe programe terțe. În mod tradițional, companiile de telefonie au controlat foarte bine aplicațiile care rulează pe rețelele lor - AT & T inițial a susținut că telefoanele terțe ar întrerupe rețeaua. Astăzi, tot ceea ce este nevoie este de 25 USD și o adresă Gmail pentru a dezvolta aplicații pentru Android.

Într-o altă discuție despre securitatea mobilă de deschidere, studentul absolvent al Universității Michigan, Jon Oberheide, a arătat cum utilizatorii de Android ar putea fi înșfăcați în instalarea aplicațiilor rău intenționate de către un atacator care folosește ceea ce este cunoscut sub numele de atac de tip "om-in-the-middle". Telefoanele sunt mai puternice, sunt mai adoptate și mai ieftine decât PC-urile, adesea găzduind date importante, oferind hackerilor un stimulent financiar pentru a merge după ei, A spus Arce