Podle představitelů společnosti TippingPoint se řada účastníků o zneužití pokoušela pomocí prostředků, které by k úspěchy vyžadovaly více paměti nebo výpočetního výkonu procesoru, než mají i dnešní již značně pokročilé smart phony. Řada z nich se zřejmě domnívala, že nějaké ze známých zneužití Safari by mělo fungovat i na iPhonu (a proč za těchto podmínek nezískat 10 000 dolarů, které TippingPoint za úspěch nabízel), ale nebylo tomu tak. Zranitelnosti zde evidentně existují, ale v prostředí telefonu není tak lehké jich zneužít.
Kromě iPhone byly útokům vystaveny i telefony BlackBerry, zařízení se systémem Windows Mobile, Android a Symbian.
Zajímavá je, že v případě klasických počítačů s prohlížeči byli útočníci podstatně úspěšnější. Možná, že bezpečnostní rizika chytrých telefonů dnes tedy nejsou tak velká, jak se mnohdy soudí. Uvidíme za rok, pořadatelé hackerské konference CanSecWest plánují v příštím roce telefony testovat znovu. Otázkou ovšem je, jak konkrétně postupovat: zneužití se nemusí týkat jen operačního systému jako takového, ale i implementace u konkrétního výrobce, problém může být i v dodávané aplikaci, ty ovšem závisejí nejen na výrobci, ale i na telekomunikačním operátorovi. Předhodit útočníkům notebook s operačním systémem je v tomto ohledu z hlediska metodiky jednodušší.
Letos si například jeden z účastníků akce připravil exploit na emulátoru BlackBerry Touch, ovšem reálně testovaný model telefonu BlackBerry byl Bold – a už tento drobný rozdíl stačil, aby kód nefungoval.
Zdálo se, že pouze jeden z předvedených exploitů by mohl opravdu fungovat, a to na Apple iPhone. Autor ale nakonec odmítl v pokusu pokračovat a zneužití sdělit pořadatelům – 10 000 dolarů se mu zdálo málo. (Tady se nabízí otázka, proč se pak akce vůbec vůbec účastnil? Pokud jde např. o penetračního testera, který chce tímto způsobem udělat dojem na potenciálního klienta, stále zde motivace není jasná.)
O letošní akci CanSecWest skupiny PWN2OWN jsme psali v článcích
MacOS X se Safari padl za pár vteřin, nepřežil ani Internet Explorer 8
10 000 dolarů za vlámání do mobilu či prohlížeče
Zdroj: Computerworld.com
PŘEDPLATNÉ
ČLÁNKY DO MAILU