Selaimet hakkeroitu ennen puhelimia Security Show

Mobiililaitteet ottivat keskiviikkona CanSecWestin turvallisuuskonferenssin keskiviikkona, mutta se oli selaimen vikoja, jotka saivat kaiken huomion näyttelyn suosittuun hakkerointikilpailuun.

Konferenssin järjestäjät olivat kutsuneet osallistujia näyttämään hyökkäyksiä, jotka kohdistivat aiemmin tuntemattomia puutteita selaimissa tai mobiililaitteita näyttelyn vuosittaisessa Pwn2Own-kilpailussa. Ensimmäisen päivän loppuun mennessä Internet Explorer, Safari ja Firefox olivat kaikki hakkeroituneet, mutta kukaan ei murskannut viidelle mobiililaitteelle, vaikka kilpailun sponsori TippingPoint maksaa US $ 10 000 / mobiiliviihde, kahdesti, mitä se maksaa selaimen puutteista.

Hyökkäysten laskemiseksi hakkerien oli käytettävä vikoja saadakseen koodin suoritettavaksi koneella.

[Lue lisää: Kaikkien budjettien parhaat Android-puhelimet.]

Ensimmäinen selaimesi oli Applen Safari-selain käynnissä Macintoshissa. Viime vuoden kilpailu voittaja Charlie Miller hyppäsi nopeasti Maciin käyttämällä vikaa, jonka hän löysi valmistaessaan viime vuoden tapahtumaa. Vaikka Millerin Applen hakkerointi on antanut hänelle paljon huomiota, Safari on helppo tavoite, hän sanoi haastattelussa heti hakkerin jälkeen. "Siellä on paljon vikoja."

Microsoftin Internet Explorer ei kuitenkaan kovin paljon parantunut. Toinen hakkeri, joka tunnisti itsensä järjestäjiksi vain Nilsiksi, oli pian hakkeroitu Internet Explorer 8: lle. Nils sitten houkutteli hakkerit huoneeseen poistamalla Safarin ja Firefoxin hyö- dykkeet.

Miller sanoi, ettei hän ollut yllättynyt näkemästä matkapuhelimet menevät ilman hyökkäyksiä. Ensinnäkin matkapuhelinten hyökkäykset olivat tiukkoja ja vaativat, että hyödyntäminen ei toimi käytännössä ilman käyttäjän vuorovaikutusta. Tulevien päivien aikana nämä rajoitukset löystyvät antaen hakkereille mahdollisuuden hyökkäykseen.

Miller kuitenkin sanoo, että mobiililaitteiden, kuten iPhonen, murtaminen on "vaikeampaa" kuin PC-hakkerointi. Vaikka turvallisuustutkijat kuten Miller saattavat olla kiinnostuneita älypuhelimista juuri nyt, tähän mennessä ei ole paljon tutkimusta ja dokumentaatiota siitä, miten hyökkäämään mobiililaitteille. "He eivät tee siitä tutkimusta", Miller sanoi.

Mutta tämä saattaa muuttua Core Security Technologiesin johtavan teknologiatekniikan Ivan Arcen mukaan.

Pwn2Own-kilpailu oli käynnissä, Arce-yhtiön tutkijat puhuivat toisessa kokoushuoneessa osoittaen ohjelmansa, jonka kirjoitti, jota hyökkääjät voivat käyttää, kun he ovat onnistuneet hakemaan matkapuhelimeen. Kiinnostava asia Corein kuorikoodiohjelmistossa on, että se voi toimia sekä Applen iPhonessa että Google Androidissa, mikä osoittaa, että rikolliset voisivat teoriassa kirjoittaa yhden koodin, joka toimi molemmilla alustoilla.

Viime kuukausina mobiililaitteiden tutkimus on nousee ja on äskettäin saavuttanut "kippauspisteen", jossa onnistuvat hyökkäykset, Arce sanoi.

Arce sanoi, että monet tekijät tekevät puhelimista houkuttelevia kohteita. Yhtä asiaa he avaavat ja voivat käyttää yhä useampia kolmannen osapuolen ohjelmistoja. Perinteisesti puhelinyhtiöt ovat hyvin tiukasti hallinnoineet verkossaan toimivia sovelluksia - AT & T alun perin väitti, että kolmannen osapuolen puhelimet rikkovat verkkoaan. Tänään kaikki tarvitset 25 dollaria ja Gmail-osoitteen, jotta Android-sovelluksia voidaan kehittää.

Toisella avauspäivän matkaviestinnän turvallisuustutkimuksessa Michigan Universityn yliopiston jatko-opiskelija Jon Oberheide osoitti, miten Android-käyttäjiä voitaisiin käyttää petoksiin asennettaessa haittaohjelmia

Puhelimet ovat tehokkaampia, laajemmin hyväksyttyjä ja halvempia kuin tietokoneet, ja ne sisältävät usein tärkeitä tietoja, jolloin hakkereilla on taloudellisia kannustimia mennä heidän jälkeensä, Arce sanoi.