Снова о грустном

21 сентябрь, 2012 - 13:59Игорь Дериев

Как известно, новости с хакерских соревнований Pwn2Own по определению не могут быть радостными. Даже если какие-то устройства/ОС/браузеры избежали взлома, это обычно говорит лишь о том, что на них не стали тратить время ввиду более легкой добычи.

На этот раз речь о Mobile Pwn2Own, которые проходят в рамках европейской конференции EUSecWest. Двое голландских хакеров из компании Certified Secure с легкостью взломали iPhone 4S (через специальную веб-страницу), получив доступ к адресной книге, фото и видео, истории браузера. По их словам, созданием эксплойта они занимались около трех недель, но только в нерабочее время. Уязвимость в WebKit нашлась довольно быстро, сложнее было построить цепочку трюков для обхода песочницы и проверки цифровой подписи кода.

Эксплойт действует в iOS 5 и 6, и не только в iPhone 4, но и в iPad и iPod touch. При этом хакеры считают iOS наиболее защищенной среди мобильных ОС – хотя ни песочница, ни проверка цифровых подписей, ни ASLR, ни DEP их не остановили. Хуже всего, по их мнению дела обстоят с BlackBerry (RIM с их выводами, естественно, не согласна), с Android – лучше, но в общем тоже плохо. Все три упомянутые платформы используют WebKit, причем BlackBerry – самую старую версию.

Трудно сказать, что являлось для хакеров большим аргументом – PR (читай, слава) или приз в $30 тыс., но очевидно, что мотивация реальных злоумышленников может быть гораздо выше. При этом традиционно считается, что смартфоны более безопасны, чем ПК, и это приводит к тому, что пользователи обычно даже не задумываются о защитных мерах. Между тем, данный эксплойт даже не требует индивидуального подхода – теоретически он может быть внедрен во взломанную сеть веб-рекламы и разойтись очень массово.

В итоге: поскольку отказаться от смартфонов в качестве рабочего инструмента вряд ли возможно, к ним нужно применять практики, уже отработанные на ПК. Прежде всего – стоит разделять рабочую и персональную/развлекательную среды и первую использовать только для ограниченного круга задач. В конце концов, носить с собой два смартфона далеко не то же самое, что два ноутбука :)

Хотя решение, придуманное специально для ноутбуков, – клиентские гипервизоры – вполне может быть перенесено и на смартфоны. Во всяком случае, VMware давно этим грозит и даже где-то что-то вроде бы уже показывала, а некоторые OEM (кажется, LG и Samsung) даже высказывали готовность поддержать инициативу. Учитывая вычислительные возможности современных смартфонов (многоядерные процессоры и даже Atom-ы) это не такая уж фантастика.