Browser Digerebek Sebelum Ponsel di Security Show

Perangkat seluler mendapat sorotan di konferensi keamanan CanSecWest hari Rabu, tetapi itu adalah bug peramban yang mendapat semua perhatian pada kontes peretasan populer acara.

Penyelenggara konferensi telah mengundang peserta untuk menampilkan serangan yang menargetkan kekurangan yang sebelumnya tidak dikenal di peramban atau perangkat seluler dalam kontes Pwn2Own tahunan acara. Pada akhir hari pertama, Internet Explorer, Safari dan Firefox semuanya diretas, tetapi tidak ada yang mengambil celah di lima perangkat seluler untuk diperebutkan, meskipun sponsor kontes, TippingPoint, membayar US $ 10.000 per bug seluler, dua kali apa yang membayar untuk cacat browser.

Untuk serangan untuk menghitung, peretas harus menggunakan bug untuk mendapatkan kode agar berjalan di mesin. Bug yang ditemukan melalui kontes dapat diperiksa oleh TippingPoint, dan kemudian diserahkan ke vendor perangkat lunak terkait untuk ditambal.

[Bacaan lebih lanjut: Ponsel Android terbaik untuk setiap anggaran.]

Browser pertama yang digunakan adalah browser Safari Apple yang dijalankan pada Macintosh. Pemenang kontes tahun lalu, Charlie Miller dengan cepat meretas Mac menggunakan bug yang dia temukan saat mempersiapkan acara tahun lalu. Meskipun peretasan Apple dengan Apple telah memberinya banyak perhatian, Safari adalah sasaran empuk, katanya dalam sebuah wawancara tepat setelah peretasannya. "Ada banyak bug di luar sana."

Microsoft Internet Explorer tidak berjalan jauh lebih baik. Peretas lain, yang mengidentifikasi dirinya sebagai pengelola hanya sebagai Nils, segera meretas Internet Explorer 8. Nils kemudian memukau para peretas di dalam ruangan dengan melepaskan eksploit untuk Safari dan Firefox juga.

Miller mengatakan dia tidak terkejut melihat ponsel pergi tanpa serangan. Untuk satu hal, aturan yang mengatur serangan telepon seluler sangat ketat, mengharuskan eksploit bekerja dengan hampir tidak ada interaksi pengguna. Dalam beberapa hari mendatang, pembatasan ini akan melonggarkan, memberi peretas lebih banyak serangan.

Namun, Miller mengatakan bahwa membobol perangkat seluler seperti iPhone "lebih sulit" daripada peretasan PC. Meskipun para peneliti keamanan seperti Miller mungkin tertarik dengan ponsel pintar saat ini, hingga saat ini belum banyak penelitian dan dokumentasi tentang cara menyerang platform seluler. "Mereka tidak mempermudah untuk melakukan penelitian tentang itu," kata Miller.

Tapi itu mungkin berubah, menurut Ivan Arce, kepala petugas teknologi dengan Core Security Technologies.

Sementara kontes Pwn2Own sedang berlangsung Para peneliti dari perusahaan Arce berbicara di ruang konferensi lain, menunjukkan program yang mereka tulis yang dapat digunakan oleh penyerang setelah mereka berhasil meretas ponsel. Hal yang menarik tentang perangkat lunak shellcode Core adalah ia dapat berjalan di iPhone Apple dan Google Android, menunjukkan bahwa para penjahat secara teoritis dapat menulis satu kode yang akan berjalan di kedua platform.

Dalam beberapa bulan terakhir, penelitian tentang perangkat seluler memiliki mengambil dan baru-baru ini mencapai "titik kritis," di mana serangan yang lebih sukses cenderung muncul, kata Arce.

Ada beberapa faktor yang membuat ponsel menjadi target yang menarik, kata Arce. Untuk satu hal, mereka membuka dan dapat menjalankan lebih banyak perangkat lunak pihak ketiga. Biasanya perusahaan telepon mengontrol aplikasi yang berjalan di jaringan mereka - pada suatu waktu AT & T pada awalnya berpendapat bahwa telepon pihak ketiga akan merusak jaringannya. Hari ini, semua yang diperlukan adalah US $ 25 dan alamat Gmail untuk mengembangkan aplikasi untuk Android.

Dalam pembicaraan keamanan seluler hari pembukaan, mahasiswa pascasarjana Universitas Michigan Jon Oberheide menunjukkan bagaimana pengguna Android dapat ditipu untuk menginstal aplikasi berbahaya oleh penyerang yang menggunakan apa yang dikenal sebagai serangan man-in-the-middle.

Ponsel lebih kuat, lebih banyak diadopsi, dan lebih murah daripada PC, dan mereka sering menyimpan data penting, memberikan insentif insentif kepada pembajak untuk mengejar mereka., Kata Arce.