Webes alkalmazások

A mobileszközök középpontjában a CanSecWest biztonsági konferencián merültek fel, de böngészőhibák voltak, amelyek minden figyelmet kaptak a show népszerű hackerversenyén.

A konferencia szervezői meghívták a résztvevőket olyan támadások megjelenítésére, amelyek korábban ismeretlen hibákat tártak fel böngészőkben vagy mobil eszközöket a kiállítás éves Pwn2Own versenyén. Az első nap végére az Internet Explorer, a Safari és a Firefox mindenkit letört, de senki sem vette fel az öt mobileszközt, még akkor sem, ha a verseny szponzora, a TippingPoint, 10 000 USD / kétszer annyit tesz, mint amit a böngésző hibáért fizet.

A támadások számlálásához a hackereknek a hibákat kellett használniuk, hogy kódhoz juthassanak a gépen. A versenyen feltárt hibákat a TippingPoint ellenőrzi, majd átadják a kapcsolódó szoftvergyártóknak, hogy be legyenek hajítva.

[További olvasmány: A legjobb Android-telefonok minden költségvetéshez.]

Az első böngésző az Apple Safari böngésző Macintosh rendszeren futott. Az előző évi verseny győztese, Charlie Miller hamar feltörte a Mac-et egy olyan hibával, amelyet a tavalyi esemény előkészítésekor talált. Bár a Miller Apple hackerje nagy figyelmet szentelt neki, a Safari könnyű célpontot jelentett, azt mondta egy interjúban közvetlenül a hackja után. "Rengeteg hiba létezik."

A Microsoft Internet Explorer azonban nem sokkal jobb volt. Egy másik hacker, aki magát a szervezőként csak Nils-ként azonosította magát, hamarosan feltörte az Internet Explorer 8-at. A Nils ezután felhúzta a hackereket a szobában a Safari és a Firefox használatával.

Miller azt mondta, nem meglepődött, a mobiltelefonok támadás nélkül mennek. Egyrészt a mobiltelefonos támadásokra vonatkozó szabályok szigorúak voltak, és szükségük volt arra, hogy a kizsákmányolás gyakorlatilag semmilyen felhasználói beavatkozással járjon. Az elkövetkező napokban ezek a megszorítások lazulnak, így a hackerek több támadási lehetőséget kínálnak.

Mégis, Miller szerint az olyan mobileszközökre való áttörés, mint az iPhone, "nehezebb", mint a PC hackelés. Bár a Miller biztonsági kutatói most érdekelhetik az intelligens telefonok érdeklődését, eddig nem volt sok kutatás és dokumentáció arra vonatkozóan, hogy miként lehet megtámadni a mobil platformokat. "Nem könnyű kutatást végezni" - mondta Miller.

De ez változhat Ivan Arce, a Core Security Technologies vezető technológiai tisztje szerint.

A Pwn2Own versenyen, az Arce cégének kutatói egy másik konferenciateremben beszélgettek, bemutatva egy programot, amelyet írt, amit a támadók használhattak, miután sikerült betörniük egy mobiltelefonra. A Core shellkódszoftverének érdekessége, hogy mind az Apple iPhone, mind a Google Android operációs rendszeren futhat, jelezve, hogy a bűnözők elvileg írhatnak egy kódot, amely mindkét platformon futna.

Az elmúlt hónapokban a mobileszközökön végzett kutatás felvette, és nemrégiben elérte a "billentési pontot", ahol valószínűbb, hogy sikeresebb lesz a támadás, Arce szerint.

Számos tényező vonzóvá teszi a telefonokat, mondta Arce. Egyfelől megnyílnak és több harmadik féltől származó szoftvert is futtathatnak. Hagyományosan a telefonos vállalatok nagyon szorosan ellenőrzik a hálózaton futó alkalmazásokat - egy időben az AT & T kezdetben azzal érvelt, hogy a harmadik féltől származó telefonok megszakítják a hálózatát. A mai napig mindössze 25 dollár, és egy Gmail-cím az Android alkalmazások fejlesztése érdekében.

Egy másik nyitónapi mobilbiztonsági beszélgetés során a University of Michigan egyetemi hallgató, Jon Oberheide megmutatta, hogy az Android felhasználók hogyan becsapják a rosszindulatú alkalmazásokat a támadók a középső támadást használják.

A telefonok erősebbek, szélesebb körben elfogadottak és olcsóbbak, mint a PC-k, és gyakran fontos adatokat tárolnak, így a hackerek pénzügyi ösztönzést nyújtanak arra, hogy utána menjenek - mondta Arce -