…прошли на прошлой неделе уже ставшие традиционными хакерские соревнования Mobile Pwn2Own. Впрочем, этот тот нечастый случай, когда неожиданность, скорее, порадовала бы.
Как обычно, хакерам предлагалось получить удаленный контроль над популярными мобильными устройствами:
Допускались, в общем-то, атаки любого типа, при условии, что в них используются неизвестные уязвимости и ошибки. Однако, если успешные «стандартные» атаки через браузер и другие мобильные приложения оценивались «всего лишь» в $50 тыс., то через коммуникации близкого действия (Bluetooth, Wi-Fi, NFC) – уже в $75 тыс., через службы сообщений (SMS, MMS, CMAS) – в целых $100 тыс., а через сотовый канал – даже в $150 тыс. Одним словом, в мобильном мире все гораздо интереснее, чем в традиционном компьютерном. Общий призовой фонд составил $425 тыс.
Итоги двухдневных соревнований таковы – 7 успешных (полностью или частично) атак:
Под частичным успехом подразумевается, что хакер сумел совершить какие-то несанкционированные действия (к примеру, взломать собственно браузер), но не смог обойти системную песочницу, повысить привилегии и, собственно, получить полный контроль над устройством.
Как видно, из списка подопытных не пострадал BlackBerry Z30. Вероятно, хакеры окончательно утратили интерес к данной платформе – не было даже попыток (что, кстати, наблюдалось и на предыдущих соревнованиях). Хотя она считается потенциально вполне уязвимой.
iOS показала себя достаточно стандартно. По-видимому, обилие уязвимостей в движке браузера все еще позволяет хакерам собирать сливки, не задумываясь о более сложных атаках. iPad остался нетронутым, но, по мнению экспертов, атака, скорее всего, может быть перенесена и на него.
Зато Android прекрасно исполняет роль мобильного аналога настольной Windows. Может быть платформа и не настолько слабее (с точки зрения безопасности) прочих, но именно к ней, очевидно, приковано наибольше внимание. Отсюда и результаты.
А вот Windows Phone пока выглядит довольно крепким орешком. Особенно если учесть, что в данном случае ею «занимался» представитель известной французской хакерской команды VUPEN.
В целом же картина не слишком радужная. Несколько обнадеживает то, что такое мастерство демонстрируют хакеры «в белых шляпах», профессиональные инженеры и эксперты по безопасности, а вся информация о уязвимостях и эксплоитах передается и независимо верифицируется Zero Day Initiative, которая, в свою очередь, взаимодействует с непосредственными разработчиками.