Web aplikacije

Mobilni uređaji u središtu pažnje su na konferenciji za sigurnost CanSecWest u srijedu, ali bili su bugovi preglednika koji su privukli sve pozornosti na popularnom natjecanju za smeće na showu.

Organizatori konferencije pozvali su sudionike na prikaz napada koji su ciljali nepoznate nedostatke u preglednicima ili mobilnih uređaja u godišnjem Pwn2Own natjecanju emisije. Do kraja prvog dana, Internet Explorer, Safari i Firefox svi su bili hakirani, ali nitko nije preuzeo pukotinu na pet mobilnih uređaja za nadoknadu, iako je sponzor pokera TippingPoint isplatio 10.000 USD po mobitelu, dvaput onoliko koliko plaća za nedostatke preglednika.

Da bi napadi trebali računati, hakeri su morali koristiti bugove kako bi dobili kod za pokretanje stroja. Bugovi otkriveni kroz natječaj provjeravaju TippingPoint, a zatim ih predaju pridruženim dobavljačima softvera da budu popravljeni.

[Daljnje čitanje: Najbolji Android telefoni za svaki proračun.]

Prvi preglednik koji je pokrenut bio je Appleov Safari preglednik pokrenut na Macintosh računalu. Prošlogodišnji dobitnik natječaja Charlie Miller brzo je srušio Mac koristeći bug koji je pronašao pripremajući se za prošlogodišnji događaj. Iako je Millerova Appleova sjeckanja dala mu veliku pažnju, Safari je jednostavan cilj, izjavio je u intervjuu odmah nakon njegovog udarca. "Postoji mnogo bugova vani."

Microsoft Internet Explorer, međutim, nije mnogo bolji. Još jedan haker, koji se identificirao organizatorima samo kao Nils, uskoro je srušio Internet Explorer 8. Nils je potom hvalio hakere u sobi izdavajući eksploatacije za Safari i Firefox.

Miller je rekao da nije iznenađen što vidi mobiteli idu bez napada. Jedna stvar, pravila koja reguliraju napade na mobilni telefon bila su strogi, zahtijevajući da iskorištavanje radi gotovo bez korisničke interakcije. U nadolazećim danima, ova ograničenja će se popustiti, dajući hakerima više napadaja.

Ipak, Miller kaže da je pucanje na mobilne uređaje kao što je iPhone "teže" od sjeckanja računala. Iako su istraživači poput Millera možda zainteresirani za pametne telefone, do sada nije bilo mnogo istraživanja i dokumentacije o tome kako napadati mobilne platforme. "Oni ne olakšavaju istraživanje na njemu", rekao je Miller. "Ali to se možda mijenja, kaže Ivan Arce, glavni tehnološki časnik s Core Security Technologies."

Iako je natjecanje Pwn2Own bilo u tijeku, istraživači Arceove tvrtke razgovarali su u drugoj konferencijskoj sobi, pokazujući program koji su napisali, a koje bi mogle poslužiti napadačima nakon što su uspjeli upasti u mobilni telefon. Zanimljivo je da je Coreov softverski program shellcode moguće pokrenuti i na Apple iPhone i Google Androidu, pokazujući da kriminalci mogu teoretski napisati jedan kôd koji će se izvoditi na obje platforme.

Posljednjih mjeseci istraživanje na mobilnim uređajima podigla je i nedavno je postigla "točkicu", gdje će se vjerojatno pojaviti uspješniji napadi, rekao je Arce.

Nekoliko čimbenika čini telefone atraktivnim ciljevima, rekao je Arce. Jedna stvar, otvaraju se i mogu pokrenuti sve više i više softvera treće strane. Tradicionalno, telefonske tvrtke vrlo su strogo kontrolirale aplikacije koje se pokreću na svojim mrežama - AT & T je u početku tvrdio da bi telefoni treće strane prekršili svoju mrežu. Danas je potrebno samo 25 dolara i Gmail adresu kako bi razvili aplikacije za Android.

U jednoj od najnovijih mobilnih sigurnosnih razgovora, diplomant Jon Oberheide iz Sveučilišta u Michiganu pokazao je kako korisnici Androida mogu zavarati instaliranje zlonamjernih aplikacija

Telefoni su snažniji, široko prihvaćen i jeftiniji od računala, a često sadrže važne podatke, a hakeri im pružaju financijski poticaj da idu za njima, Rekao je Arce.