| +22 голоса |
|
…прошли на прошлой неделе уже ставшие традиционными хакерские соревнования Mobile Pwn2Own. Впрочем, этот тот нечастый случай, когда неожиданность, скорее, порадовала бы.
Как обычно, хакерам предлагалось получить удаленный контроль над популярными мобильными устройствами:
- Amazon Fire Phone
- Apple iPhone 5s
- Apple iPad Mini with Retina Display
- BlackBerry Z30
- Google Nexus 5
- Google Nexus 7
- Nokia Lumia 1520
- Samsung Galaxy S5
Допускались, в общем-то, атаки любого типа, при условии, что в них используются неизвестные уязвимости и ошибки. Однако, если успешные «стандартные» атаки через браузер и другие мобильные приложения оценивались «всего лишь» в $50 тыс., то через коммуникации близкого действия (Bluetooth, Wi-Fi, NFC) – уже в $75 тыс., через службы сообщений (SMS, MMS, CMAS) – в целых $100 тыс., а через сотовый канал – даже в $150 тыс. Одним словом, в мобильном мире все гораздо интереснее, чем в традиционном компьютерном. Общий призовой фонд составил $425 тыс.
Итоги двухдневных соревнований таковы – 7 успешных (полностью или частично) атак:
- Apple Phone 5S удалось взломать через браузер; судя по всему, WebKit по-прежнему дает достаточный простор для «творчества»;
- Samsung Galaxy S5 – через уязвимость в Android и NFC;
- Google/LG Nexus 5 – через NFC (с последующим задействованием Bluetooth) и Wi-Fi (частичный успех);
- Amazon Fire Phone – через уязвимость в платформе (тоже Android, но адаптированный Amazon);
- Nokia Lumia 1520 – через браузер (частичный успех).
Под частичным успехом подразумевается, что хакер сумел совершить какие-то несанкционированные действия (к примеру, взломать собственно браузер), но не смог обойти системную песочницу, повысить привилегии и, собственно, получить полный контроль над устройством.
Как видно, из списка подопытных не пострадал BlackBerry Z30. Вероятно, хакеры окончательно утратили интерес к данной платформе – не было даже попыток (что, кстати, наблюдалось и на предыдущих соревнованиях). Хотя она считается потенциально вполне уязвимой.
iOS показала себя достаточно стандартно. По-видимому, обилие уязвимостей в движке браузера все еще позволяет хакерам собирать сливки, не задумываясь о более сложных атаках. iPad остался нетронутым, но, по мнению экспертов, атака, скорее всего, может быть перенесена и на него.
Зато Android прекрасно исполняет роль мобильного аналога настольной Windows. Может быть платформа и не настолько слабее (с точки зрения безопасности) прочих, но именно к ней, очевидно, приковано наибольше внимание. Отсюда и результаты.
А вот Windows Phone пока выглядит довольно крепким орешком. Особенно если учесть, что в данном случае ею «занимался» представитель известной французской хакерской команды VUPEN.
В целом же картина не слишком радужная. Несколько обнадеживает то, что такое мастерство демонстрируют хакеры «в белых шляпах», профессиональные инженеры и эксперты по безопасности, а вся информация о уязвимостях и эксплоитах передается и независимо верифицируется Zero Day Initiative, которая, в свою очередь, взаимодействует с непосредственными разработчиками.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| +22 голоса |
|
