Браузеры взломаются до того, как телефоны на экране безопасности

Мобильные устройства заняли центральное место на конференции безопасности CanSecWest в среду, но это были ошибки браузеров, которые привлекли все внимание на популярном конкурсе хакеров.

Организаторы конференции пригласили участников продемонстрировать атаки, нацеленные на ранее неизвестные недостатки в браузерах или мобильных устройств в ежегодном конкурсе Pwn2Own. К концу первого дня Internet Explorer, Safari и Firefox были взломаны, но никто не взломал пять мобильных устройств для захвата, хотя спонсор конкурса TippingPoint выплачивает 10 000 долларов США за каждую ошибку, в два раза больше, чем платят за недостатки браузера.

Для того, чтобы атаки подсчитывались, хакеры должны были использовать ошибки для запуска кода на машине. Ошибки, обнаруженные в ходе конкурса, проверяются TippingPoint, а затем передаются связанным поставщикам программного обеспечения, которые будут исправлены.

[Читать дальше: Лучшие телефоны Android для каждого бюджета.]

Первым браузером стал браузер Safari от Apple, работающий на Macintosh. Победитель прошлогоднего конкурса, Чарли Миллер быстро взломал Mac, используя ошибку, которую он обнаружил при подготовке к прошлогоднему событию. Хотя взлом Apple Миллера привлек его внимание, Safari - легкая цель, сказал он в интервью сразу после его взлома. «Там много ошибок».

Internet Explorer от Microsoft не стал намного лучше. Другой хакер, который идентифицировал себя с организаторами только как Нилс, вскоре взломал Internet Explorer 8. Затем Нильс поразил хакеров в комнате, развязывая эксплойты для Safari и Firefox.

Миллер сказал, что он не удивился, увидев мобильные телефоны идут без атаки. Во-первых, правила, регулирующие атаки на мобильные телефоны, были строгими, требуя, чтобы эксплойт работал практически без взаимодействия с пользователем. В ближайшие дни эти ограничения будут ослаблены, давая хакерам больше возможностей для атаки.

Тем не менее, Миллер говорит, что взлом мобильных устройств, таких как iPhone, «сложнее», чем взлом ПК. Хотя исследователи безопасности, такие как Миллер, могут сейчас интересоваться смартфонами, на сегодняшний день не было много исследований и документации о том, как атаковать мобильные платформы. По словам Ивана Арсе, главного специалиста по технологиям с технологиями Core Security Technologies, это не позволяет проводить исследования, - сказал Миллер.

В то время как конкурс Pwn2Own продолжался, исследователи из компании Arce говорили в другом конференц-зале, демонстрируя программу, которую они написали, которая может быть использована злоумышленниками, когда им удастся взломать мобильный телефон. Интересная вещь о программном обеспечении Corecode Core - то, что она может работать как на iPhone Apple, так и на Google Android, показывая, что преступники могут теоретически написать один кусок кода, который будет работать на обеих платформах.

В последние месяцы исследования мобильных устройств поднял и недавно достиг «переломного момента», где могут появиться более удачные атаки, сказал Арсе.

Есть несколько факторов, которые делают телефоны привлекательными мишенями, сказал Арсе. Во-первых, они открывают и могут запускать все больше и больше сторонних программ. Традиционно телефонные компании очень жестко контролируют приложения, которые работают в своих сетях. В свое время AT & T изначально утверждала, что сторонние телефоны нарушат свою сеть. Сегодня все, что требуется, - это 25 долларов США и адрес Gmail для разработки приложений для Android.

В другом разговоре по мобильной безопасности в университете, выпускник университета Мичигана Джон Оберхайд показал, как пользователи Android могут быть обмануты установкой вредоносных приложений злоумышленником, использующим так называемую атаку «человек-в-середине».

Телефоны более мощные, более широко принятые и более дешевые, чем ПК, и они часто содержат важные данные, предоставляя хакерам финансовый стимул идти за ними, Сказал Арсе.