How "Crash Safari" Reboots Your Phone
Mobil enheter tok søkelyset på CanSecWest-sikkerhetskonferansen onsdag, men det var nettleserbugs som fikk all oppmerksomhet på showets populære hackingkonkurranse.
Konferansearrangører hadde invitert deltakerne til å vise angrep som retter seg mot tidligere ukjente feil i nettlesere eller mobile enheter i showets årlige Pwn2Own-konkurranse. Ved utgangen av den første dagen hadde Internet Explorer, Safari og Firefox alle blitt hacket, men ingen tok en sprekk på de fem mobile enhetene, selv om konkurrentens sponsor, TippingPoint, betaler ut USD 10 000 per mobilbug, to ganger hva det betaler for nettleserens feil.
For angrepene som skal telle, måtte hackere bruke feilene for å få kode for å kjøre på maskinen. Feilene som ble avslørt gjennom konkurransen, blir overvåket av TippingPoint, og overføres deretter til de tilknyttede programvareleverandørene som skal lappes.
[Videre lesing: De beste Android-telefonene for hvert budsjett.]Den første nettleseren som gikk, var Apples Safari-nettleser som kjører på en Macintosh. I fjor kom konkurrentvinner, Charlie Miller, raskt inn i Mac ved hjelp av en feil han fant mens han forberedte seg på fjorårets arrangement. Selv om Miller's Apple hacking har gitt ham mye oppmerksomhet, er Safari et enkelt mål, sa han i et intervju rett etter hacken hans. "Det er mange feil der ute."
Microsofts Internet Explorer gikk imidlertid ikke mye bedre, skjønt. En annen hacker, som identifiserte seg til organisatører bare som Nils, hadde snart hacket Internet Explorer 8. Nils så wowed hackerne i rommet ved å frigjøre utnyttelser for Safari og Firefox også.
Miller sa at han ikke var overrasket over å se mobiltelefoner går uten angrep. For det første var reglene for mobiltelefonangrepene strenge, noe som krever at operatøren jobber med nesten ingen brukerinteraksjon. I de kommende dagene vil disse begrensningene løsne, noe som gir hackere flere angrepsveier.
Miller sier fortsatt at bryte inn i mobile enheter som iPhone er "vanskeligere" enn PC-hacking. Selv om sikkerhetsforskere som Miller kan være interessert i smarte telefoner akkurat nå, har det hittil ikke vært mye forskning og dokumentasjon av hvordan man kan angripe mobilplattformer. «De gjør det ikke lett å gjøre forskning på det,» sa Miller.
Men det kan endres, ifølge Ivan Arce, sjefsteknologsjef med Core Security Technologies.
Mens Pwn2Own-konkurransen pågikk forskere fra Arces selskap snakket i et annet konferanserom, og demonstrerte et program de skrev som kunne brukes av angripere når de klarte å hack inn i en mobiltelefon. Den interessante tingen om Core's shellcode-programvare er at den kan kjøre på både Apple iPhone og Google Android, og viser at kriminelle kan teoretisk skrive et stykke kode som vil kjøre på begge plattformene.
I de siste månedene har forskningen i mobile enheter plukket opp og har nylig nådd et "tipping point", der flere vellykkede angrep sannsynligvis kommer til å dukke opp, sa Arce.
Det er flere faktorer som gjør telefoner attraktive mål, sa Arce. For en ting, de åpner opp og kan kjøre flere og flere tredjeparts programvare. Tradisjonelt har telefonselskaper svært tett kontrollert programmene som kjører på nettene sine - AT & T argumenterte for det første at tredjeparts telefoner ville bryte nettverket. I dag er alt som trengs, 25 US $ og en Gmail-adresse for å kunne utvikle applikasjoner for Android.
I en annen mobilsikkerhetsprat på åpent dag viste universitetsstudenten Jon Oberheide universitetsstudenten hvordan Android-brukere kunne bli lurt til å installere ondsinnede applikasjoner
Telefoner er kraftigere, mer allment vedtatt og billigere enn PCer, og de husker ofte viktige data, noe som gir hackere et økonomisk incitament til å gå etter dem, Sa Arce.
Mozilla-stiftelsen sier at det fortsatt er på rette spor for å frigjøre Firefox 3.5 Beta 4 en gang senere denne uken til tross for mangel på en fast utgivelsesdato. Beta 4 vil trolig være den siste testversjonen før Mozilla går videre til utgivelseskandidaten til Firefox 3.5. Mozilla har imidlertid ikke gjort det bra på mange av Firefox 3.5-tidsfrister: tidligere i år forsvant Mozilla utgivelsen av Beta 3 - to ganger - før du fortsetter til Beta 4, samt å dumpe navnet Firefox 3.1 for snappier Fi
De fleste av de tidligere forsinkelsene stammer fra Firefox's nye JavaScript-motor, TraceMonkey, som lover å øke siden laster to ganger raskere enn Firefox 3.0 og ni ganger raskere enn Firefox 2.0 . For øyeblikket inneholder Beta 4 sju høyprioriterte feil som krever reparasjoner, hvorav fem involverer JavaScript-motoren.
Før du går online for å forhåndsbestille Microsofts overflate med Windows RT (Surface RT) -enhet fra og med tirsdag klokken 12.00, vil du sørge for at dette er riktig enhet for deg. Trenger du å kjøre tradisjonelle Windows-programmer? Vil du heller ha en enhet som har en tyngre tastaturdokk? Har du sett på de andre Windows 8-drevne enhetene på vei? Kjøpe en Windows RT-skifer går ikke så enkelt som å kjøpe en iPad eller Android-nettbrett, så før du kjøper her er det en titt på fem ting du bør vur
Overflate prissetting
Apples hevede Safari-nettleser ble hacket i 5 sekunder på 2011 års PC-hackingkonkurranse. En fransk penntestfirma VUPEN hacket Apples Safari-nettleser ved hjelp av en nulldag feil for å vinne den ettertraktede Pwn2Own-hackerutfordringen.
I år ble nettleseren rettet mot den nyeste utgivelsen kandidat (på konkurransestidspunktet) Følgende produkter: