Chytré telefony klání hackerů přežily

Všechny chytré telefony, které byly testovány v rámci hackerské soutěže skupiny PWN2OWN, v zásadě odolaly pokusům útočníků zařízení ovládnout. 10 000 dolarů od sponzorující společnosti TippingPoint nezískal žádný z účastníků akce.


Podle představitelů společnosti TippingPoint se řada účastníků o zneužití pokoušela pomocí prostředků, které by k úspěchy vyžadovaly více paměti nebo výpočetního výkonu procesoru, než mají i dnešní již značně pokročilé smart phony. Řada z nich se zřejmě domnívala, že nějaké ze známých zneužití Safari by mělo fungovat i na iPhonu (a proč za těchto podmínek nezískat 10 000 dolarů, které TippingPoint za úspěch nabízel), ale nebylo tomu tak. Zranitelnosti zde evidentně existují, ale v prostředí telefonu není tak lehké jich zneužít.

Kromě iPhone byly útokům vystaveny i telefony BlackBerry, zařízení se systémem Windows Mobile, Android a Symbian.

Zajímavá je, že v případě klasických počítačů s prohlížeči byli útočníci podstatně úspěšnější. Možná, že bezpečnostní rizika chytrých telefonů dnes tedy nejsou tak velká, jak se mnohdy soudí. Uvidíme za rok, pořadatelé hackerské konference CanSecWest plánují v příštím roce telefony testovat znovu. Otázkou ovšem je, jak konkrétně postupovat: zneužití se nemusí týkat jen operačního systému jako takového, ale i implementace u konkrétního výrobce, problém může být i v dodávané aplikaci, ty ovšem závisejí nejen na výrobci, ale i na telekomunikačním operátorovi. Předhodit útočníkům notebook s operačním systémem je v tomto ohledu z hlediska metodiky jednodušší.

Letos si například jeden z účastníků akce připravil exploit na emulátoru BlackBerry Touch, ovšem reálně testovaný model telefonu BlackBerry byl Bold – a už tento drobný rozdíl stačil, aby kód nefungoval.

Zdálo se, že pouze jeden z předvedených exploitů by mohl opravdu fungovat, a to na Apple iPhone. Autor ale nakonec odmítl v pokusu pokračovat a zneužití sdělit pořadatelům – 10 000 dolarů se mu zdálo málo. (Tady se nabízí otázka, proč se pak akce vůbec vůbec účastnil? Pokud jde např. o penetračního testera, který chce tímto způsobem udělat dojem na potenciálního klienta, stále zde motivace není jasná.)

O letošní akci CanSecWest skupiny PWN2OWN jsme psali v článcích

MacOS X se Safari padl za pár vteřin, nepřežil ani Internet Explorer 8

10 000 dolarů za vlámání do mobilu či prohlížeče

 

Zdroj: Computerworld.com

 

 











Komentáře