Przeglądarki zostały zaatakowane przed telefonami w Security Show

Urządzenia mobilne znalazły się w centrum zainteresowania podczas konferencji bezpieczeństwa CanSecWest w środę, ale to bugi przeglądarek zwróciły uwagę na popularny konkurs hakerów.

Organizatorzy konferencji zaprosili uczestników do wyświetlania ataków ukierunkowanych na nieznane wcześniej luki w przeglądarkach lub przeglądarkach. urządzenia mobilne w corocznym konkursie Pwn2Own. Pod koniec pierwszego dnia, wszystkie przeglądarki zostały zaatakowane przez Internet Explorera, Safari i Firefoksa, ale nikt nie wykorzystywał pięciu urządzeń mobilnych do przechwycenia, mimo że sponsor TippingPoint, wypłaca 10 000 USD za mobilny błąd, dwa razy tyle, ile płacą za błędy przeglądarki.

Aby ataki mogły się liczyć, hakerzy musieli używać błędów, aby uzyskać kod do uruchomienia na komputerze. Błędy wykryte podczas konkursu zostają sprawdzone przez TippingPoint, a następnie przekazywane do powiązanych z nimi dostawców oprogramowania, które mają zostać załatane.

[Czytaj dalej: Najlepsze telefony z Androidem dla każdego budżetu.]

Pierwszą przeglądarką była przeglądarka Apple Safari na Macintoshu. Zeszłego roku zwycięzca konkursu, Charlie Miller szybko włamał się na Maca używając błędu, który znalazł podczas przygotowywania się do zeszłorocznej imprezy. Choć hakerzy Apple'a Millera bardzo go zainteresowały, Safari jest łatwym celem, powiedział w wywiadzie tuż po jego ataku hakerskim. "Istnieje wiele błędów."

Microsoft Internet Explorer nie radził sobie jednak o wiele lepiej. Inny haker, który nazwał się organizatorami jedynie jako Nils, wkrótce włamał się do Internet Explorera. Nils zaskoczył hakerów w pokoju, uwalniając exploity także dla Safari i Firefoksa.

Miller powiedział, że nie był zaskoczony, gdy zobaczył telefony komórkowe idą bez ataku. Po pierwsze, zasady rządzące atakami na telefony komórkowe były surowe, co wymaga, aby exploit działał praktycznie bez interakcji użytkownika. W najbliższych dniach ograniczenia te ulegną rozluźnieniu, dając hakerom więcej możliwości ataku.

Mimo to, Miller twierdzi, że włamywanie się do urządzeń mobilnych, takich jak iPhone, jest "trudniejsze" niż hakowanie komputerów. Choć badacze zajmujący się bezpieczeństwem, tacy jak Miller, mogą teraz być zainteresowani smartfonami, do tej pory nie było zbyt wielu badań i dokumentacji, jak zaatakować platformy mobilne. "Nie ułatwiają prowadzenia badań" - powiedział Miller.

Ale to się może zmieniać, twierdzi Ivan Arce, dyrektor ds. Technologii w Core Security Technologies.

Podczas, gdy toczył się konkurs Pwn2Own - badacze z firmy Arce'a rozmawiali w innej sali konferencyjnej, demonstrując program, który napisali, który mógłby zostać wykorzystany przez napastników po tym, jak udało im się włamać do telefonu komórkowego. Interesującą rzeczą w oprogramowaniu Core shellcode jest to, że może działać zarówno na Apple iPhone, jak i Google Android, pokazując, że przestępcy teoretycznie mogli napisać jeden fragment kodu, który działałby na obu platformach.

W ostatnich miesiącach badania nad urządzeniami mobilnymi podniósł i niedawno osiągnął punkt krytyczny, w którym prawdopodobnie pojawią się bardziej skuteczne ataki, powiedział Arce.

Istnieje kilka czynników, które czynią telefony atrakcyjnymi celami, powiedział Arce. Po pierwsze, otwierają się i mogą uruchamiać coraz więcej oprogramowania stron trzecich. Tradycyjnie firmy telefoniczne ściśle kontrolują aplikacje działające w swoich sieciach - kiedyś AT & T początkowo twierdziło, że telefony firm trzecich złamią jego sieć. Dzisiaj wszystko, czego potrzeba, to 25 USD i adres Gmaila w celu tworzenia aplikacji dla systemu Android.

W innym rozmowie na temat mobilnej ochrony z okazji pierwszego dnia studiów, absolwent University of Michigan, Jon Oberheide, pokazał, w jaki sposób użytkownicy Androida mogą zostać oszukani podczas instalacji złośliwych aplikacji przez atakującego używającego tak zwanego ataku man-in-the-middle.

Telefony są potężniejsze, szerzej akceptowane i tańsze niż komputery osobiste, i często zawierają ważne dane, dając hakerom motywację finansową do pójścia za nimi, Powiedział Arce.