الحصول على القرصنة من المتصفحات قبل الهواتف في معرض الأمان

سلّطت أجهزة الجوّال الضوء الأبرز في مؤتمر أمن CanSecWest يوم الأربعاء ، ولكن كانت أخطاء المتصفح هي التي حظيت بكل الاهتمام في مسابقة القرصنة الشهيرة في البرنامج.

قد دعا منظمو المؤتمر الحاضرين إلى عرض هجمات استهدفت عيوبًا لم تكن معروفة سابقًا في المتصفحات أو الأجهزة المحمولة في المسابقة السنوية Pwn2Own المعرض. وبحلول نهاية اليوم الأول ، تم اختراق كل من Internet Explorer و Safari و Firefox ، ولكن لم يجرِ أحد اختراق أجهزة الهواتف النقالة الخمسة ، على الرغم من أن راعي المسابقة TippingPoint يدفع 10 آلاف دولار أمريكي لكل حشرة خلوية ، ضعف ما يدفعه لعيوب المتصفح.

حتى يتم احتساب الهجمات ، كان على المتسللين استخدام الخلل للحصول على رمز لتشغيله على الجهاز. يتم التحقق من الأخطاء التي تم اكتشافها من خلال المسابقة بواسطة TippingPoint ، ثم يتم تسليمها إلى بائع البرامج المصاحب ليتم تصحيحها.

[المزيد من القراءة: أفضل هواتف Android لكل ميزانية. كان

أول متصفح يذهب إليه متصفح Apple Safari قيد التشغيل على Macintosh. الفائز في مسابقة العام الماضي ، اخترق تشارلي ميلر بسرعة في ماك باستخدام خلل وجد أثناء التحضير لحدث العام الماضي. على الرغم من أن قرصنة أبل من ميلر قد منحته الكثير من الاهتمام ، إلا أن سفاري هدف سهل ، كما قال في مقابلة مباشرة بعد الاختراق. "هناك الكثير من الأخطاء هناك."

لم يكن مستكشف إنترنت من Microsoft أفضل بكثير. هاكر آخر ، عرف نفسه على المنظمين فقط كنيلس ، اخترق إنترنت إكسبلورر 8 ، ثم قام نيلز بعد ذلك بإثارة المتسللين في الغرفة عن طريق إطلاق العنان لسيارتي وفايرفوكس كذلك.

قال ميلر إنه لم يفاجأ لرؤية الهواتف المحمولة تذهب دون هجمة. فمن ناحية ، كانت القواعد المنظمة لهجمات الهواتف المحمولة صارمة ، مما تطلب من عمل الاستغلال مع عدم وجود تفاعل للمستخدم. في الأيام القادمة ، سوف تخفف هذه القيود ، مما يمنح المتسللين المزيد من طرق الهجوم.

لا يزال ، ويقول ميلر إن اختراق أجهزة الهاتف المحمول مثل آي فون هو "أصعب" من قرصنة الكمبيوتر. على الرغم من أن الباحثين الأمنيين مثل ميلر قد يكونون مهتمين بالهواتف الذكية في الوقت الحالي ، لم يكن هناك الكثير من الأبحاث والتوثيق حول كيفية مهاجمة منصات الهواتف المحمولة. وقال ميلر: "إنهم لا يجعلون من السهل إجراء أبحاث على ذلك".

لكن هذا قد يتغير ، حسبما قال إيفان أرسي ، رئيس قسم التكنولوجيا في شركة Core Security Technologies

بينما كانت مسابقة Pwn2Own مستمرة تحدث باحثون من شركة Arce في قاعة مؤتمرات أخرى ، مظهرين برنامجاً كتبوه يمكن أن يستخدمه المهاجمون بمجرد تمكنهم من اختراق الهاتف المحمول. الشيء المثير للاهتمام حول برنامج shell shellode هو أنه يمكن تشغيله على كل من Apple iPhone و Google Android ، مبينًا أن المجرمين يمكنهم نظريًا كتابة جزء واحد من التعليمات البرمجية التي تعمل على كلا النظامين.

في الأشهر الأخيرة ، كان البحث في الأجهزة المحمولة وقال ارسي ان هناك العديد من العوامل التي تجعل الهواتف ذات اهداف جذابة ، وقد وصلت في الاونة الاخيرة الى "نقطة تحول" حيث من المرجح ظهور المزيد من الهجمات الناجحة. لسبب واحد ، هم يفتحون ويمكن تشغيل المزيد والمزيد من برامج طرف ثالث. تقليديا تسيطر شركات الهاتف بشدة على التطبيقات التي تعمل على شبكاتها - في وقت واحد جادلت شركة AT & T في البداية أن هواتف الأطراف الثالثة ستكسر شبكتها. اليوم ، كل ما يتطلبه الأمر هو 25 دولارًا أمريكيًا وعنوان Gmail من أجل تطوير تطبيقات للأندرويد.

في محادثة أخرى حول الأمن المحمول في يوم الافتتاح ، أظهر جون اوبرهايد ، طالب الدراسات العليا بجامعة ميتشيغان ، كيف يمكن خداع مستخدمي Android في تثبيت التطبيقات الضارة بواسطة مهاجم باستخدام ما يعرف باسم هجوم رجل في الوسط.

الهواتف أكثر قوة ، وأكثر اعتمادًا على نطاق واسع ، وأرخص من أجهزة الكمبيوتر الشخصية ، وغالبًا ما تحتوي على بيانات مهمة ، مما يمنح المتسللين حافزًا ماليًا لملاحقتهم قال ارس.