Browsere Hacked Before Phones i Security Show

Mobile enheder tog højdepunktet på CanSecWest-sikkerhedskonferencen onsdag, men det var browserbugs, der fik al opmærksomhed på showets populære hackingstest.

Konferencearrangører havde inviteret deltagere til at vise angreb, der målrettede tidligere ukendte fejl i browsere eller mobile enheder i showets årlige Pwn2Own-konkurrence. Ved udgangen af ​​den første dag var Internet Explorer, Safari og Firefox alle blevet hacket, men ingen tog en revne på de fem mobile enheder, selvom konkurrencen sponsor, TippingPoint, udbetaler US $ 10.000 pr. Mobilfejl, to gange hvad det betaler for browserens fejl.

For angrebene at tælle skulle hackere bruge fejlene til at få kode til at køre på maskinen. Bugsne afdækket gennem konkurrencen bliver overvåget af TippingPoint og overleveres derefter til de tilhørende softwareleverandører, der skal patches.

[Yderligere læsning: De bedste Android-telefoner til hvert budget.]

Den første browser til at gå var Apples Safari-browser, der kører på en Macintosh. Sidste års konkurrencevinder chokerede Charlie Miller hurtigt ind i Mac'en ved hjælp af en fejl han fandt under forberedelsen af ​​sidste års begivenhed. Selvom Miller's Apple hacking har givet ham en masse opmærksomhed, er Safari et let mål, sagde han i et interview lige efter hans hack. "Der er mange fejl derude."

Microsofts Internet Explorer gik dog ikke meget bedre. En anden hacker, som kun identificerede sig som arrangører som Nils, havde snart hacket Internet Explorer 8. Nils så wowed hackerne i rummet ved at frigøre udnyttelser til Safari og Firefox.

Miller sagde, at han ikke var overrasket over at se mobiltelefoner går uden angreb. For det første var reglerne for mobiltelefonangrebene strenge, hvilket kræver, at udbyttet virker med næsten ingen brugerinteraktion. I de kommende dage vil disse begrænsninger løsne, hvilket giver hackere flere angrebsmuligheder.

Miller siger stadig, at brud på mobile enheder som iPhone er "sværere" end PC-hacking. Selvom sikkerhedsforskere som Miller måske er interesserede i smartphones lige nu, har der indtil videre ikke været meget forskning og dokumentation af, hvordan man angriber mobile platforme. "De gør det ikke let at undersøge det," sagde Miller. Men det kan ændre sig, ifølge Ivan Arce, chefsteknolog officer med Core Security Technologies.

Mens Pwn2Own-konkurrencen foregik forskere fra Arce's firma talte i et andet konferencerum og demonstrerede et program, de skrev, der kunne bruges af angribere, når de har formået at hakke i en mobiltelefon. Den interessante ting om Core's shellcode software er, at den kan køre på både Apple iPhone og Google Android, hvilket viser, at kriminelle kunne teoretisk skrive et stykke kode, der ville køre på begge platforme.

I de seneste måneder har forskningen i mobile enheder plukket op og har for nylig nået et "tippunkt", hvor flere succesfulde angreb sandsynligvis vil opstå, siger Arce.

Der er flere faktorer, der gør telefoner attraktive mål, siger Arce. For en ting åbner de op og kan køre flere og flere tredjeparts software. Traditionelt telefonvirksomheder har meget tæt kontrolleret de applikationer, der kører på deres netværk - på én gang AT & T argumenterede oprindeligt for, at tredjeparts telefoner ville bryde sit netværk. I dag er alt det, der kræves, 25 US $ og en Gmail-adresse for at udvikle applikationer til Android.

I en anden åbningsdag mobil sikkerhedssamtale viste University of Michigan kandidatstuderende Jon Oberheide, hvordan Android-brugere kunne blive narret til at installere ondsindede applikationer

Telefoner er mere magtfulde, mere udbredte og billigere end pc'er, og de huser ofte vigtige data, hvilket giver hackere et økonomisk incitament til at følge dem, Sagde Arce.