iPhone, Safari, Firefox i IE ofiarami hackerów
W kilka minut po rozpoczęciu hackerskiego konkursu Pwn2Own złamano zabezpieczenia iPhone'a. Włamania dokonało dwóch ekspertów - Vincenzo Iozzo i Ralf Philipp Weinmann - za pośrednictwem przeglądarki Safari, a atakujący dostał się do bazy danych SMS, w tym do wykasowanych wiadomości tekstowych.
Niemiecki hacker o pseudonimie Nils wykorzystał nieznaną wcześniej dziurę w Firefoksie i przejął kontrolę nad 64-bitowym Windows 7. Ominął przy tym zabezpieczenia DEP i ALSR. Nils planował później złamać zabezpieczenia Safari pracującej pod kontrolą Mac OS X, jednak ubiegł go Charlie Miller, znany specjalista ds. bezpieczeństwa produktów Apple'a. Miller utworzył specjalną witrynę WWW za pomocą której pokonał Safari i uzyskał pełen dostęp do linii komend systemu operacyjnego.
Inny uczestnik zawodów - Peter Vreugdenhil - wykorzystał dwie dziury w Internet Explorerze 8 i przejął kontrolę nad 64-bitowym Windows 7, radząc sobie z DEP i ALSR.
Jak dotąd nie próbowano przełamać zabezpieczeń Chrome'a.
Za złamanie zabezpieczeń każdej z przeglądarek płacono 40 000 dolarów nagrody. W zawodach biorą udział IE8 oraz IE7, Firefox 3, Chrome 4 i Safari 4. Ponadto sponsorzy konkursu przyznali nagrody w wysokości 60 000 USD za włamanie do platform mobilnych, którymi są iPhone, BlackBerry, Symbian i Android.
Wśród sponsorów konkursu, który odbywa się w ramach konferencji bezpieczeństwa CanSecWest, znaleźli się Microsoft, Google, RIM, Intel, Adobe czy Juniper.
Komentarze (4)
Jurgi, 25 marca 2010, 11:36
Szkoda, powtarzam zawsze, szkoda, że nie testują podczas konkursu kompa z Operą. Byłoby może nieco jaśniejsze, czy jest naprawdę tak szczelna, jak obiecują (na co mam nadzieję), czy też tylko dlatego, że nikomu się nie chce szukać eksploitów na mało popularny na świecie produkt.
Mariusz Błoński, 25 marca 2010, 11:44
Przypuszczam, że to drugie.
Skoro bowiem we wszystkich innych przeglądarkach znajdowane są dziury i można się do nich włamać, to dlaczego w Operze miałoby być inaczej. Musielibyśmy założyć, że albo ludzie tworzący inne przeglądarki to wyjątkowe łamagi, albo pracownicy Opera Software to geniusze. A zapewne wszyscy oni prezentują podobny poziom wiedzy i umiejętności (jako zespoły, nie jako indywidualni ludzie).
w46, 25 marca 2010, 13:01
Jest jeszcze kwestia priorytetów jakie są stawiane przez zespołem. Dla jednych bezpieczeństwo będzie stało wyżej niż funkcjonalność dla jednych drobna luka w bezpieczeństwie będzie mniej istotna niż doprowadzenie do końca zapowiadanych udoskonaleń i puszczenie nowej wersji na czas. deadline vs bugs ..
wilk, 25 marca 2010, 15:13
Nie powiedziałbym, że przeciwieństwo robienia błędów (łamagi), czyli pisanie poprawnych aplikacji takich jakimi powinny być, to geniusz. To raczej normalne podejście.
A, że błędy są, to pewne. Wystarczy przejrzeć changelog dla kolejnej wersji w kategorii "security".
Edit: Zabawne, linki z tagu URL są ukrywane wraz treścią na stronie artykułu. Wystarczy przecież usunąć samego linka i pozostawić treść (tutaj słowo "changelog") lub dodać mu rel="nofollow" (choć to akurat niestety nie gwarantuje, że roboty nie pójdą dalej).