`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Игорь Дериев

Снова о грустном

+88
голосов

Как известно, новости с хакерских соревнований Pwn2Own по определению не могут быть радостными. Даже если какие-то устройства/ОС/браузеры избежали взлома, это обычно говорит лишь о том, что на них не стали тратить время ввиду более легкой добычи.

На этот раз речь о Mobile Pwn2Own, которые проходят в рамках европейской конференции EUSecWest. Двое голландских хакеров из компании Certified Secure с легкостью взломали iPhone 4S (через специальную веб-страницу), получив доступ к адресной книге, фото и видео, истории браузера. По их словам, созданием эксплойта они занимались около трех недель, но только в нерабочее время. Уязвимость в WebKit нашлась довольно быстро, сложнее было построить цепочку трюков для обхода песочницы и проверки цифровой подписи кода.

Эксплойт действует в iOS 5 и 6, и не только в iPhone 4, но и в iPad и iPod touch. При этом хакеры считают iOS наиболее защищенной среди мобильных ОС – хотя ни песочница, ни проверка цифровых подписей, ни ASLR, ни DEP их не остановили. Хуже всего, по их мнению дела обстоят с BlackBerry (RIM с их выводами, естественно, не согласна), с Android – лучше, но в общем тоже плохо. Все три упомянутые платформы используют WebKit, причем BlackBerry – самую старую версию.

Трудно сказать, что являлось для хакеров большим аргументом – PR (читай, слава) или приз в $30 тыс., но очевидно, что мотивация реальных злоумышленников может быть гораздо выше. При этом традиционно считается, что смартфоны более безопасны, чем ПК, и это приводит к тому, что пользователи обычно даже не задумываются о защитных мерах. Между тем, данный эксплойт даже не требует индивидуального подхода – теоретически он может быть внедрен во взломанную сеть веб-рекламы и разойтись очень массово.

В итоге: поскольку отказаться от смартфонов в качестве рабочего инструмента вряд ли возможно, к ним нужно применять практики, уже отработанные на ПК. Прежде всего – стоит разделять рабочую и персональную/развлекательную среды и первую использовать только для ограниченного круга задач. В конце концов, носить с собой два смартфона далеко не то же самое, что два ноутбука :)

Хотя решение, придуманное специально для ноутбуков, – клиентские гипервизоры – вполне может быть перенесено и на смартфоны. Во всяком случае, VMware давно этим грозит и даже где-то что-то вроде бы уже показывала, а некоторые OEM (кажется, LG и Samsung) даже высказывали готовность поддержать инициативу. Учитывая вычислительные возможности современных смартфонов (многоядерные процессоры и даже Atom-ы) это не такая уж фантастика.

+88
голосов

Напечатать Отправить другу

Читайте также

"Учитывая вычислительные возможности современных смартфонов (многоядерные процессоры и даже Atom-ы)" - при применении клиентских гипервизоров производительность в приложениях исполняемых в них упадет настолько, что придеться применять 8 ядерные процессоры и даже core7 на телефонах...

P.S. Хотя это тоже не даст гарнтию от взлома. Может лучше не ходить на не проверенные сайты?

ну на ПК же производительность так не падает.

Ну так на смартфонах требования жестче, - сколько эппломаны троллили андроидофилов скоростью работы интерфейса на их устройствах, так тут тормоза опять вернуться. Хотя, на ПК эти бы тормоза никто не заметил...

такая опасность есть, конечно...
хорошо бы увидеть, чтобы обсуждать предметно.

"При этом хакеры считают iOS наиболее защищенной среди мобильных ОС"

Я чувствую подвох. Взломать не смогли Android и Windows Phone, а самая защищенная ОС - IOS.

ну, они высказались в том смысле, что настоящий challenge ощутили только с iOS :)

С Apple можно больше бабла срубить за fix.

Главная "дырка" Андроида - java. Этим все сказано. Его и не стали "ломать", потому что в диком виде существует не один десяток троянов под андроид. С iOS все несколько сложнее. Windows - пока не интересен ввиду малого пока что распространения. Но ввиду того, что от W7 W8 отличается не принципиально - большинство подходов ко взлому сработают и это тоже не вызов.

IMHO, Apple никогда не платила за фикс. Она просто приглашала на работу. Очень настойчиво. Так, что от предложения нельзя было так просто отказаться.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT