Nettlesere får hacket før telefoner ved sikkerhetsvisning

Mobil enheter tok søkelyset på CanSecWest-sikkerhetskonferansen onsdag, men det var nettleserbugs som fikk all oppmerksomhet på showets populære hackingkonkurranse.

Konferansearrangører hadde invitert deltakerne til å vise angrep som retter seg mot tidligere ukjente feil i nettlesere eller mobile enheter i showets årlige Pwn2Own-konkurranse. Ved utgangen av den første dagen hadde Internet Explorer, Safari og Firefox alle blitt hacket, men ingen tok en sprekk på de fem mobile enhetene, selv om konkurrentens sponsor, TippingPoint, betaler ut USD 10 000 per mobilbug, to ganger hva det betaler for nettleserens feil.

For angrepene som skal telle, måtte hackere bruke feilene for å få kode for å kjøre på maskinen. Feilene som ble avslørt gjennom konkurransen, blir overvåket av TippingPoint, og overføres deretter til de tilknyttede programvareleverandørene som skal lappes.

[Videre lesing: De beste Android-telefonene for hvert budsjett.]

Den første nettleseren som gikk, var Apples Safari-nettleser som kjører på en Macintosh. I fjor kom konkurrentvinner, Charlie Miller, raskt inn i Mac ved hjelp av en feil han fant mens han forberedte seg på fjorårets arrangement. Selv om Miller's Apple hacking har gitt ham mye oppmerksomhet, er Safari et enkelt mål, sa han i et intervju rett etter hacken hans. "Det er mange feil der ute."

Microsofts Internet Explorer gikk imidlertid ikke mye bedre, skjønt. En annen hacker, som identifiserte seg til organisatører bare som Nils, hadde snart hacket Internet Explorer 8. Nils så wowed hackerne i rommet ved å frigjøre utnyttelser for Safari og Firefox også.

Miller sa at han ikke var overrasket over å se mobiltelefoner går uten angrep. For det første var reglene for mobiltelefonangrepene strenge, noe som krever at operatøren jobber med nesten ingen brukerinteraksjon. I de kommende dagene vil disse begrensningene løsne, noe som gir hackere flere angrepsveier.

Miller sier fortsatt at bryte inn i mobile enheter som iPhone er "vanskeligere" enn PC-hacking. Selv om sikkerhetsforskere som Miller kan være interessert i smarte telefoner akkurat nå, har det hittil ikke vært mye forskning og dokumentasjon av hvordan man kan angripe mobilplattformer. «De gjør det ikke lett å gjøre forskning på det,» sa Miller.

Men det kan endres, ifølge Ivan Arce, sjefsteknologsjef med Core Security Technologies.

Mens Pwn2Own-konkurransen pågikk forskere fra Arces selskap snakket i et annet konferanserom, og demonstrerte et program de skrev som kunne brukes av angripere når de klarte å hack inn i en mobiltelefon. Den interessante tingen om Core's shellcode-programvare er at den kan kjøre på både Apple iPhone og Google Android, og viser at kriminelle kan teoretisk skrive et stykke kode som vil kjøre på begge plattformene.

I de siste månedene har forskningen i mobile enheter plukket opp og har nylig nådd et "tipping point", der flere vellykkede angrep sannsynligvis kommer til å dukke opp, sa Arce.

Det er flere faktorer som gjør telefoner attraktive mål, sa Arce. For en ting, de åpner opp og kan kjøre flere og flere tredjeparts programvare. Tradisjonelt har telefonselskaper svært tett kontrollert programmene som kjører på nettene sine - AT & T argumenterte for det første at tredjeparts telefoner ville bryte nettverket. I dag er alt som trengs, 25 US $ og en Gmail-adresse for å kunne utvikle applikasjoner for Android.

I en annen mobilsikkerhetsprat på åpent dag viste universitetsstudenten Jon Oberheide universitetsstudenten hvordan Android-brukere kunne bli lurt til å installere ondsinnede applikasjoner

Telefoner er kraftigere, mer allment vedtatt og billigere enn PCer, og de husker ofte viktige data, noe som gir hackere et økonomisk incitament til å gå etter dem, Sa Arce.