|
Kun en kan forblive i live, og i dette tilfælde har det været Googles stjernebrowser. iPhone, Safari, Explorer og endda den etablerede Firefox er uden problemer faldet i hænderne på de bedste hackere i verden, der mødes hvert år i Canada for at forsøge at ødelægge de mest berømte systemer i øjeblikket og påpege deres sikkerhedsfejl. De har dog ikke været i stand til at krænke den barske "sandkasse" -tilstand, der beskytter Chrome, en koloss, der har modstået angrebene fra de bedste computereksperter på planeten. |
Den årlige Pwn2Own-konkurrence på CanSecWest-sikkerhedsmessen i Vancouver giver det perfekte miljø for verdens bedste it-sikkerhedsexperter til at deltage i fuld gang mod alle mulige hot gadgets og software. År efter år formår de at omgå de sikkerhedshindringer, som de undersøgte systemer forsøger at pålægge, men kun få har æren af at nå slutningen af konkurrencen uden en eneste fiasko.
Den første til at falde var den succesrige Apple iPhone, Vincenzo Iozzo og Ralf Philipp Weinmann, havde kun brug for 20 sekunder for at narre det mest krævede udstyr i øjeblikket. Hackerne fik kun iPhone (uden jailbreak) til at gå ind på et sted, der tidligere var udviklet af dem, hvorfra de kopierede hele SMS-databasen (selv de slettede) til deres servere. De erklærede, at til trods for Apples bestræbelser på at forhindre disse huller, "er den måde, de implementerede kodesignering på, for skånsom." De vandt $ 15.000 for denne efterretningsdemonstration, og så snart apple-firmaet løser sikkerhedsfejlen, vises oplysningerne om adgangen.
Charlie Miller, hoved sikkerhedsanalytiker hos Independent Security Evaluators, formåede at hacke Safari på en MacBook Pro med Snow Leopard og uden fysisk adgang og tjente $ 10,000. Denne gamle begivenhedshund formår at buste en enhed, der ejes af Apple hvert år. Det ser ud til, at han har taget pulsen på mærket. Det ville ikke skade for virksomheden at ansætte ham for at se, om de en gang for alle kan afslutte sikkerhedsfejlene i deres produkter.
Den uafhængige sikkerhedsforsker Peter Vreugdenhil vandt det samme beløb for hacket af Internet Explorer 8, som ikke længere overrasker nogen med at se en udgave og en anden også, da han er ramt af angrebene fra enhver ekspert, der foreslår det. For at hacke IE8 hævdede Vreugdenhil at have udnyttet to sårbarheder i et firedelt angreb, der omgåede ASLR (Address Space Layout Randomization) og DEP (Data Execution Prevention), som er designet til at hjælpe med at stoppe angreb i browseren. Som i andre forsøg kom systemet i fare, da browseren besøgte et websted, der var vært for ondsindet kode. Kendelsen gav ham rettigheder til computeren, hvilket han demonstrerede ved at køre maskinens regnemaskine.
Firefox var også nødt til at bøje knæet til den listige Nils, britiske forskningsleder for MWR InfoSecurity, der tjente $ 10,000 på browsersårbarheden, der holder Microsoft roligt. Nils sagde, at han udnyttede en hukommelseskorruptionssårbarhed og også måtte overvinde ASLR og DEP takket være en fejl i Mozillas implementering.
Og endelig har den eneste, der er blevet stående, været Chrome. Indtil videre er det den eneste browser, der forbliver ubesejret, noget den allerede havde opnået under 2009-udgaven af denne begivenhed, der finder sted i Canada, og som søger at advare brugere om programmets sårbarheder. ”Der er fejl i Chrome, men de er meget vanskelige at udnytte. De designede en 'sandkasse'-model, som er meget vanskelig at bryde, "sagde Charlie Miller, den berømte hacker, der i denne udgave formåede at tage kontrol over Safari på en Macbook Pro.
kilde: Neoteo og Segu-Info og ZDNet