В рамках состязания Mobile Pwn2Own, прошедшего в Голландии и приуроченного к ИБ-конференции EUSecWest, хакеры взломали смартфон iPhone 4S. Организаторы конкурса Pwn2Own на этот раз изменили правила, обязав разработчиков писать код для взлома прямо на конкурсной площадке, а не приносить готовые наработки с собой.
Отыскать уязвимость в iPhone 4S смогли нидерландские специалисты по компьютерной безопасности Йоост Пол и Даан Кейпер из компании Certified Secure. Используя уязвимость в браузерном движке WebKit, они получили контроль над аппаратом и загрузили личные данные: адресную книгу, фотографии, почту, журнал браузера и другую информацию.
“Мы начинали с нуля, и подготовка взлома заняла у нас около трех недель, при этом мы занимались этим во внеурочное время. Большую часть этого времени было потрачено на использование разных методов аудита кода, чтобы выведать слабости WebKit и получить эксплойт в его чистом виде”, — говорит Пол. Эксперт пояснил, что для взлома iPhone 4S использовалась так называемая уязвимость нулевого дня, которая помогла обойти защиту в части строгих требований Apple по подписанию кода в “песочнице” интернет-браузера Mobile Safari.
“Мы очень хотели узнать, сколько времени потребуется мотивированному злоумышленнику, чтобы взломать ваш iPhone. Мотивация была серьёзной, что помогло нам решить задачу найти уязвимость в WebKit. Уязвимость — это главное, но для того, чтобы написать эксплойт, потребовалось связать воедино ещё много вещей”, — сказал специалист компании Certified Secure.
Перед атакой не устояли как аппарат, работающий на iOS 5.1.1, так и смартфон на базе предварительной версии iOS 6. Данная уязвимость присутствует также в iPad, iPhone 4 и iPod touch.
Несмотря на успешный взлом iPhone, Пол и Кейпер говорят, что смартфон Apple является наиболее безопасным из всех мобильных устройств, доступных на рынке. “Даже BlackBerry не так безопасен как iPhone. Например, BlackBerry также использует WebKit, но, как правило, это устаревшие версии движка. С функциями подписания кода, песочницами, ASLR и DEP iPhone взломать гораздо труднее”, — считает Пол. Эксперт отметил, что платформа Android также гораздо лучше защищена, чем BlackBerry.
Специалисты Certified Secure говорят, что мотивированного злоумышленника не остановит никакая защита смартфона, поэтому наилучшая защита — это беречь личные данные и информацию. “Директора компаний не должны хранить электронную почту или что-нибудь ценное на iPhone или BlackBerry”, — считают эксперты.
Два других специалиста из фирмы MWR Labs взломали Android-телефон Galaxy S III.
Для осуществления атаки они воспользовались технологией беспроводной связи NFC. Взломщики установили соединение между двумя смартфонами Galaxy S III и передали вредоносное ПО с одного аппарата на другой.
Организаторы конкурса премировали победителей конкурса 30 тыс. долл. и устройствами BlackBerry. Подробное описание способов взлома устройств не предоставляется, чтобы ими не воспользовались злоумышленники.
 |
 |
||||||||||||||||
|
|||||||||||||||||
 |
|||||||||||||||||
      |
|||||||||||||||||
|
|
|
|
|
|
|
||||||||||||||||||
|
Новости ИТ-бизнеса18.04.2024
TikTok оголосив про початок тестування конкурента Instagram 18.04.2024 Україна вперше візьме участь у навчаннях з кібероборони NATO 17.04.2024 На фронт відправили кілька тисяч пристроїв РЕБ українського виробництва 17.04.2024 У Дніпрі викрили аферистку, яка видавала себе за військового та просила гроші на лікування 17.04.2024 CERT-UA попередила про кіберзагрозу для Сил оборони України Другие новости Современные решения |
|
|
|
ФорумНаступило время экспериментов (Noname, 08.04.2016 09:45:00)
Укртелеком в 4 раза снижает стоимость звонков на мобильные (СЕргей, 06.04.2016 19:11:59) Укравтодор отмечает дорожные работы и перекрытия на Яндекс.Картах (Noname, 05.04.2016 17:30:44) Яндекс.Карты объявляют конкурс для киевлян (Хтось, 17.02.2016 12:24:08) Информационная безопасность: в поисках совершенной защиты (Лариса Ершова, 09.11.2015 18:39:47) Другие темы |
|
|
||
| ГлавнаяОб изданииКак нас найтиПодписка на газетуПишите намРеклама | ||
 |
