Soutěž hackerů: očekává se, že jako první padne Safari

10. 3. 2009

Sdílet

Výzkumník zranitelností Charlie Miller, který loni na hackerské soutěži skupiny Pwn2Own jako první pronikl do notebooku s MacOS X a získal cenu 10 000 dolarů, tvrdí, že v nynějším ročníku bude nejzranitelnější testovaným produktem prohlížeč Safari.

O letošním ročníku soutěže jsme nedávno psali v článku 10 000 dolarů za vlámání do mobilu či prohlížeče, o loňském v článku Linux obstál, MacOS padl kvůli Safari a Windows Vista zradil Flash.

Miller se domnívá, že problémem Safari je především snaha o co největší uživatelský komfort. Prohlížeč zpracovává velké množství formátů, často i bez toho, aby uživatel musel takové akce potvrdit. Důsledkem této komplexnosti je tolik potenciálních bezpečnostních děr, že je všechny v rámci produktu zalátat prakticky nelze. Podle Millera je dalším problémem, že v testované verzi Safari pro MacOS X vyniknou i bezpečnostní slabiny applovského operačního systému, který na rozdíl od Windows Vista a Windows 7 postrádá metodu randomizace adres („address space layout randomization“). Naopak průnik do počítačů s prohlížečem IE8 a Firefox se testerům podle něj zřejmě vůbec nepodaří.

Miller si myslí, že pro skutečné odborníky je částka 5 000 dolarů nabízená za úspěšný průnik málo zajímavá. S tím, jak obstojí Google Chrome, si není jistý, protože o tomto prohlížeči mnoho neví, nicméně opatrně tipuje, že ani zde se průnik nepodaří.

Hlavní náplní letošní akce Pwn2Own nicméně nebudou webové prohlížeče, ale zkoumání zranitelností chytrých mobilních telefonů. Charlie Miller, pracující jako analytik v konzultační firmě Independent Security Evaluators, mimochodem objevil i vůbec první zranitelnost v telefonech se systémem Google Android. V roce 2007 se ovšem podílel i na odhalení chyby v Apple iPhone, takže těžko říct, na co se letos v této kategorii zaměří.

Miller každopádně soudí, že soutěže jako tato jsou důležité – nehledají se při nich totiž prostě „chyby obecně“ (těch je jistě spousta), ale zkoumá se, jaké z nich jsou opravdu zneužitelné. Na rozdíl od problémů, kde je zneužití jen teoretické nebo kde vše skončí pádem webového prohlížeče či zatuhnutím telefonu bez dalších následků.

 

Zdroj: Computerworld.com

ICTS24