|
하나만 살아남을 수 있으며이 경우에는 Google의 스타 브라우저였습니다. iPhone, Safari, Explorer 및 기존 Firefox조차도 매년 캐나다에서 만나는 가장 유명한 시스템을 파괴하고 보안 결함을 지적하기 위해 매년 만나는 세계 최고의 해커의 손에 문제없이 떨어졌습니다. 그러나 그들은 지구상 최고의 컴퓨터 전문가들의 공격에 저항 한 거대 기업인 Chrome을 보호하는 가혹한 "샌드 박스"모드를 위반할 수 없었습니다. |
밴쿠버에서 열리는 CanSecWest 보안 박람회에서 열리는 연례 Pwn2Own 콘테스트는 세계 최고의 IT 보안 전문가가 모든 종류의 인기있는 가제트 및 소프트웨어에 대해 본격적으로 참여할 수있는 완벽한 환경을 제공합니다. 해마다 그들은 검토중인 시스템이 부과하고자하는 보안 장애물을 피할 수 있지만, 단 한 번의 실패도없이 대회가 끝날 수있는 영광을 가진 사람은 소수에 불과합니다.
가장 먼저 무너진 것은 성공적인 Apple iPhone, Vincenzo Iozzo 및 Ralf Philipp Weinmann은 현재 가장 요구되는 장치를 바보로 만드는 데 20 초 밖에 걸리지 않았습니다. 해커들은 아이폰 (탈옥없이) 만 이전에 개발 한 사이트에 들어가서 전체 SMS 데이터베이스 (삭제 된 데이터베이스 포함)를 서버로 복사했습니다. 그들은 이러한 격차를 방지하기위한 Apple의 노력에도 불구하고 "코드 서명을 구현하는 방식이 너무 관대하다"고 말했습니다. 그들은이 인텔리전스 데모로 15.000 달러를 얻었고 애플 회사가 보안 버그를 수정하자마자 액세스 세부 정보가 표시됩니다.
Independent Security Evaluators의 수석 보안 분석가 인 Charlie Miller는 Snow Leopard를 사용하고 물리적 액세스가없는 MacBook Pro에서 Safari를 해킹하여 10,000 달러를 벌었습니다. 이 오래된 이벤트 개는 매년 Apple 소유의 장치를 파괴합니다. 그는 브랜드의 맥박을 옮긴 것 같습니다. 회사가 그를 고용하여 제품의 보안 결함을 단번에 끝낼 수 있는지 확인하는 것은 아프지 않을 것입니다.
독립적 인 보안 연구원 인 Peter Vreugdenhil은 Internet Explorer 8 해킹으로 동일한 금액을 획득했습니다. 이는 더 이상 누구도 한 버전과 다른 버전을 보는 것을 놀라게하지 않으며이를 제안하는 전문가에게 충격을받습니다. IE8을 해킹하기 위해 Vreugdenhil은 브라우저 공격을 막기 위해 설계된 ASLR (Address Space Layout Randomization)과 DEP (Data Execution Prevention)를 우회하는 XNUMX 단계 공격에서 두 가지 취약점을 악용했다고 주장했습니다. 다른 시도와 마찬가지로 브라우저가 악성 코드를 호스팅하는 사이트를 방문했을 때 시스템이 손상되었습니다. 판결은 그에게 컴퓨터에 대한 권리를 부여했으며, 그는 컴퓨터의 계산기를 실행하여 증명했습니다.
Firefox는 또한 MWR InfoSecurity의 영국 연구 책임자 인 Nils의 교활함으로 무릎을 꿇어 야했습니다. 그는 Microsoft를 편안하게 해주는 브라우저 취약성에서 10,000 달러를 벌어 들였습니다. Nils는 메모리 손상 취약점을 악용했으며 Mozilla 구현의 버그 덕분에 ASLR 및 DEP도 극복해야한다고 말했습니다.
그리고 마지막으로 남아있는 유일한 것은 Chrome입니다. 지금까지이 브라우저는 캐나다에서 열리는이 이벤트의 2009 년 에디션에서 이미 달성 한 것과 프로그램의 취약성에 대해 사용자에게 경고하려는 유일한 브라우저입니다. “Chrome에는 결함이 있지만 악용하기가 매우 어렵습니다. 그들은 깨지기 매우 어려운 '샌드 박스'모델을 설계했습니다. "이 버전에서 Macbook Pro에서 Safari를 제어 할 수 있었던 유명한 해커 인 Charlie Miller는 말했습니다.