Tarayıcılar Güvenlik Şovunda Telefonlardan Önce Hack Yapıldı

Mobil cihazlar Çarşamba günü CanSecWest güvenlik konferansında dikkatleri üzerine çekti, ancak gösterinin popüler hack yarışmasında tüm dikkatleri üzerine çeken tarayıcı hatalarıydı.

Konferans organizatörleri daha önce bilinmeyen kusurları tarayıcılarda veya tarayıcılarda hedefleyen saldırıları görüntülemeye davet etmişti. Şovun yıllık Pwn2Own yarışmasında mobil cihazlar. İlk günün sonunda, Internet Explorer, Safari ve Firefox saldırıya uğramıştı, ancak yarışma sponsoru TippingPoint, mobil hata başına 10.000 ABD Doları ödüyor olsa da, hiç kimse kapmak için beş mobil cihazda bir çatlak almadı. tarayıcı kusurları için ödeme yapmanın iki katı.

Saldırıların sayılması için, bilgisayar korsanlarının makinede çalıştırılacak kodu almak için hataları kullanması gerekiyordu. Yarışma yoluyla ortaya çıkan hatalar TippingPoint tarafından incelenir ve daha sonra ilgili yazılım satıcılarına yamaları için gönderilir.

[Ekstra okuma: Her bütçe için en iyi Android telefonlar.]

Gidecek ilk tarayıcı, Macintosh’ta çalışan Apple’ın Safari tarayıcısıydı. Geçen yılki yarışmada kazanan Charlie Miller, geçen yılki etkinliğe hazırlanırken bulduğu bir böcek kullanarak Mac'e hızla saldırdı. Miller'ın Apple'ın korsanlığı ona çok ilgi göstermesine rağmen, Safari kolay bir hedeftir, hackten hemen sonra bir röportajda söyledi. "Orada bir sürü hata var."

Microsoft'un Internet Explorer'ı çok daha iyi yapmadı. Kendisini sadece Nils olarak organize eden bir başka hacker, Internet Explorer 8'i çoktan ele geçirmişti. Nils, daha sonra Safari ve Firefox'a yönelik saldırıları serbest bırakarak odadaki bilgisayar korsanlarına da vuruyordu.

cep telefonları saldırı olmadan gider. Bir şey için, cep telefonu saldırılarını düzenleyen kurallar katıydı ve istismarın hemen hemen hiç kullanıcı etkileşimi olmadan çalışmasını gerektiriyordu. Gelecek günlerde, bu kısıtlamalar gevşetilerek, hackerlara daha fazla saldırı yolu sağlanıyor.

Yine de Miller, iPhone gibi mobil cihazlara girmenin bilgisayar korsanlığından "daha zor" olduğunu söylüyor. Miller gibi güvenlik araştırmacıları şu anda akıllı telefonlarla ilgilenebiliyor olsa da, bugüne kadar mobil platformlara nasıl saldırılacağına dair çok fazla araştırma ve dokümantasyon yapılmadı. Miller şöyle dedi:

Fakat Core Güvenlik Teknolojileri ile baş teknoloji sorumlusu Ivan Arce'a göre, bu değişiyor olabilir.

Pwn2Own yarışması devam ediyordu. Arce'un araştırmacıları, başka bir konferans odasında konuştu ve yazdıkları bir programı, saldırganların cep telefonuna girmeyi başardıklarında kullanabileceklerini belirttiler. Core'un kabuk kodu yazılımıyla ilgili ilginç olan şey, hem Apple iPhone hem de Google Android'de çalışabilmesi, suçluların teorik olarak her iki platformda çalışacak bir kod parçası yazabileceğini göstermesidir.

Son aylarda, mobil cihazlarda yapılan araştırmalar Arce şunları söyledi: “Daha başarılı saldırıların ortaya çıkabileceği bir“ devrilme noktası ”na ulaştı, dedi Arce.

Telefonları çekici hedefler haline getiren birkaç faktör var, Arce. Bir şey için, onlar açılır ve daha fazla üçüncü taraf yazılımı çalıştırabilirler. Geleneksel olarak telefon şirketleri, ağlarında çalışan uygulamaları çok sıkı bir şekilde kontrol ettiler - bir keresinde AT & T, üçüncü taraf telefonların kendi ağını kıracağını savundu. Bugün, Android için uygulamalar geliştirmek için 25 ABD doları ve bir Gmail adresi gerekiyor.

Başka bir açılış günündeki mobil güvenlik konuşmasında, University of Michigan lisans öğrencisi Jon Oberheide, Android kullanıcılarının kötü amaçlı uygulamaları yükleme konusunda nasıl kandırılabileceğini gösterdi Bir saldırgan tarafından ortadaki adam saldırısı olarak bilinen bir şey kullanılarak.

Telefonlar PC'lerden daha güçlü, daha yaygın olarak benimsenmiş ve daha ucuzdur ve genellikle önemli veriler barındırırlar ve korsanlara onlardan sonra gitmek için mali bir teşvik verir., Arce dedi ki