`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Игорь Дериев

Мир новый, проблемы прежние

+66
голосов

Термин post-PC в значительной степени прижился даже не из-за того, что мобильные устройства действительно вытесняют традиционные ПК, а потому, что, развиваясь независимо, они во многом повторяют их историю. Косвенным признаком этого является и то, что с прошлого года соревнования Mobile Pwn2Own стали проводиться независимо от Pwn2Own.

Mobile Pwn2Own 2013 проходят как раз в эти дни в рамках PacSec Tokyo 2013. С учетом разницы во времени их второй и заключительный день должен близиться к концу, но пока информации о его результатах нет. Возможно, причина в том, что теперь участники должны писать эксплойты на месте, домашние заготовки не принимаются, соответственно, многие будут бороться до упора.

Однако и первый день оказался весьма плодотворным, по крайней мере для двух команд, в сумме заработавших 67.5 тыс. долл. На поругание хакерам был выставлен впечатляющий перечень устройств:

  • Nokia Lumia 1020 running Windows Phone
  • Microsoft Surface RT running Windows RT
  • Samsung Galaxy S4 running Android
  • Apple iPhone 5 running iOS
  • Apple iPad Mini running iOS
  • Google Nexus 4 running Android
  • Google Nexus 7 running Android
  • Google Nexus 10 running Android
  • BlackBerry Z10 running BlackBerry 10,

но пока пострадали только iPhone 5 и Samsung Galaxy S4.

С последним, впрочем, ситуация не вполне однозначная. Вроде бы взломан был не собственно Android, а приложения Samsung, что снова-таки переносит в мобильный мир проблему crapware, хорошо известную в мире ПК. Для осуществления атаки достаточно лишь заманить пользователя на специальный сайт, никаких дополнительных действий с его стороны не потребуется. Android, однако, пропускает скрытую установку хакерского ПО и собственно (в данном конкретном случае) хищение пользовательских данных. Законные 40 тыс. долл. для японской команды из Mitsui Bussan Secure Directions, Inc.

С iPhone история иная, использовались уязвимости именно в iOS, причем в двух версиях – 6.1.4 и 7.0.3. Из краткого описания можно понять, что речь идет именно о мобильном Safari, песочница которого оказалась беспомощной против двух различных атак. В первом случае (6.1.4) удалось похитить какие-то фото, во втором (7.0.3) – учетную запись FaceBook. Впрочем, не следует забывать, что это лишь демонстрация принципиальной возможности, а не реальная атака, которая может быть гораздо сложнее. Не ясно также, присутствуют ли данные уязвимости в других устройствах на iOS.

На этот раз отличилась китайская команда из Keen Cloud Tech. Если не ошибаюсь, это первый успех представителей Поднебесной на Pwn2Own, хотя негласно их хакеры считаются вполне «на уровне». На организацию атак им понадобилось всего порядка 5 мин, правда, в предположении «соучастия» пользователя – каким-то способом его нужно заставить щелкнуть по специальным ссылкам, что, в общем, стандартная задача социальной инженерии. Вероятно, поэтому и приз только 27.5 тыс.

Показательно, что все атаки были выполнены, если можно так сказать, в ПК-стиле. Т.е. пока что, в основном, наработки из мира ПК переносятся в мир мобильный. При том, что по условиям соревнований наибольшие призы предлагаются за взлом специфически мобильной функциональности, прежде всего коммуникационных каналов. Вероятно, это обусловлено большими инженерными сложностями, но очевидно, что рано или поздно их захотят преодолеть.

Обращает на себя внимание, что вторичность post-PC по отношению к ПК диктует ускоренные темпы развития мобильного мира, в том числе и в сфере безопасности. Очень похоже, что этап вирусов/антивирусов здесь будет фактически проскочен, и настоящая борьба развернется сразу в сфере уязвимостей, которые в мобильном ПО представляют гораздо большую угрозу, чем в десктопном – в силу специфики распространения обновлений.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+66
голосов

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT