I browser vengono hackerati prima dei telefoni al Security Show

I dispositivi mobili sono stati protagonisti durante la conferenza sulla sicurezza di CanSecWest mercoledì, ma sono stati i bug del browser ad attirare l'attenzione sul popolare concorso di hacking dello show.

Gli organizzatori della conferenza hanno invitato i partecipanti a visualizzare attacchi che avevano come obiettivo difetti sconosciuti nei browser o dispositivi mobili nel concorso annuale Pwn2Own dello show. Alla fine del primo giorno, Internet Explorer, Safari e Firefox sono stati tutti hackerati, ma nessuno ha preso una brutta piega per i cinque dispositivi mobili in palio, anche se lo sponsor del concorso, TippingPoint, sta pagando US $ 10.000 per bug di dispositivi mobili, due volte quello che paga per i difetti del browser.

Per gli attacchi da contare, gli hacker hanno dovuto usare i bug per ottenere il codice da eseguire sulla macchina. Gli errori scoperti attraverso il contest vengono controllati da TippingPoint e quindi vengono consegnati ai fornitori di software associati per essere corretti.

[Ulteriori letture: i migliori telefoni Android per ogni budget.]

Il primo browser ad essere utilizzato era il browser Safari di Apple in esecuzione su un Macintosh. Il vincitore del concorso dello scorso anno, Charlie Miller ha rapidamente hackerato il Mac usando un bug che ha trovato mentre si preparava per l'evento dell'anno scorso. Sebbene l'hacking di Miller's Apple gli abbia prestato molta attenzione, Safari è un obiettivo facile, ha detto in un'intervista subito dopo il suo hack. "Ci sono un sacco di bug là fuori".

Microsoft Internet Explorer non ha funzionato molto meglio, però. Un altro hacker, che si identificava con gli organizzatori solo come Nils, aveva presto hackerato Internet Explorer 8. Nils ha poi entusiasmato gli hacker nella stanza scatenando exploit anche per Safari e Firefox.

Miller ha detto di non essere sorpreso di vedere il i telefoni cellulari vanno senza attacco. Per prima cosa, le regole che regolavano gli attacchi dei telefoni cellulari erano rigide, richiedendo che l'exploit funzionasse praticamente senza alcuna interazione da parte dell'utente. Nei prossimi giorni, queste restrizioni si allenteranno, offrendo agli hacker ulteriori possibilità di attacco.

Ancora, Miller dice che irrompere in dispositivi mobili come l'iPhone è "più difficile" di un PC hacking. Sebbene ricercatori della sicurezza come Miller possano essere interessati agli smart phone in questo momento, ad oggi non ci sono state molte ricerche e documentazione su come attaccare le piattaforme mobili. "Non rendono facile fare ricerche su di esso", ha detto Miller.

Ma questo potrebbe cambiare, secondo Ivan Arce, chief technology officer di Core Security Technologies.

Mentre il concorso Pwn2Own stava andando avanti, i ricercatori della compagnia di Arce hanno parlato in un'altra sala conferenze, dimostrando un programma che hanno scritto che potrebbe essere utilizzato dagli aggressori una volta che sono riusciti a penetrare in un telefono cellulare. La cosa interessante del software shellcode di Core è che può funzionare sia su Apple iPhone che su Google Android, mostrando che i criminali potrebbero teoricamente scrivere un pezzo di codice che girerebbe su entrambe le piattaforme.

Negli ultimi mesi, la ricerca sui dispositivi mobili ha Raccolse e ha recentemente raggiunto un "punto di svolta", in cui è probabile che emergano più attacchi di successo, ha detto Arce.

Ci sono diversi fattori che rendono i telefoni obiettivi attraenti, ha detto Arce. Per prima cosa, si stanno aprendo e possono eseguire sempre più software di terze parti. Tradizionalmente le compagnie telefoniche hanno controllato molto strettamente le applicazioni che girano sulle loro reti - inizialmente AT & T sosteneva che i telefoni di terze parti avrebbero interrotto la sua rete. Oggi, tutto ciò che serve è $ 25 e un indirizzo Gmail per sviluppare applicazioni per Android.

In un altro discorso di sicurezza mobile di apertura, Jon Oberheide, studente universitario dell'Università del Michigan, ha mostrato come gli utenti di Android possono essere ingannati nell'installare applicazioni malevoli da un aggressore che usa ciò che è noto come attacco man-in-the-middle.

I telefoni sono più potenti, più largamente adottati e più economici dei PC, e spesso ospitano dati importanti, dando agli hacker un incentivo finanziario per inseguirli, Disse Arce.