אנדרואיד

דפדפנים לפרוץ לפני טלפונים בתוכנית אבטחה

עשרה דברים שאתם צריכים לדעת על ה-Nintendo Switch

עשרה דברים שאתם צריכים לדעת על ה-Nintendo Switch
Anonim

מכשירים ניידים לקחו את הזרקורים בכנס האבטחה של CanSecWest ביום רביעי, אבל זה היה באגים דפדפן כי קיבל את כל תשומת הלב בתחרות פריצה פופולרי של התוכנית.

מארגני הכנס הזמין המשתתפים להציג התקפות כי ממוקד פגמים בעבר לא ידוע בדפדפנים או ניידים בתחרות Pwn2Own השנתית של התוכנית. עד סוף היום הראשון, Internet Explorer, Safari ו- Firefox היו כולם פרוצים, אבל אף אחד לא לקח סדק בחמשת המכשירים הניידים, אבל למרות שספקית החסות, TippingPoint, משלמת 10,000 דולר לכל באג נייד, פעמיים מה זה משלם עבור פגמים בדפדפן.

כדי שהתקפות יספרו, האקרים היו צריכים להשתמש באגים כדי לקבל קוד לרוץ על המכונה. הבאגים שנחשפו דרך התחרות נבדקו על ידי TippingPoint, ולאחר מכן נמסרו לספקי התוכנה המשויכים לתיקונים.

[קריאה נוספת: מיטב מכשירי Android לכל תקציב.]

הדפדפן הראשון ללכת היה דפדפן ספארי של אפל פועל על מקינטוש. הזוכה בתחרות בשנה שעברה, צ'רלי מילר במהירות פריצה לתוך Mac באמצעות באג הוא מצא בעת ההכנות לאירוע בשנה שעברה. למרות פריצתו של אפל מילר נתן לו הרבה תשומת לב, ספארי היא מטרה קלה, הוא אמר בראיון מיד לאחר גרזן שלו. "יש הרבה באגים שם בחוץ."

Internet Explorer של מיקרוסופט לא היה הרבה יותר טוב, אם כי. עוד האקר, שזיהה את עצמו למארגנים רק בתור נילס, מיהר לפרוץ את Internet Explorer 8. נילס, לאחר מכן, העביר את האקרים לחדר על ידי ניצול לרעה של ספארי ופיירפוקס.

מילר אמר שהוא לא הופתע לראות את טלפונים ניידים ללא התקפה. דבר אחד, הכללים המסדירים את ההתקפות טלפון סלולרי היו קפדניים, המחייב את ניצול לנצל כמעט ללא אינטראקציה עם המשתמש. בימים הקרובים, הגבלות אלה ישתחררו, ויספקו להאקרים דרכים נוספות להתקפה. עם זאת, מילר אומר כי פריצה למכשירים ניידים כמו ה- iPhone היא "קשה" יותר מאשר פריצה למחשב. למרות שחוקרי אבטחה כמו מילר עשויים להתעניין בטלפונים חכמים נכון לעכשיו, עד כה לא היה הרבה מחקר ותיעוד של איך לתקוף פלטפורמות ניידות. "זה לא מקל לעשות מחקר על זה", אמר מילר. "אבל זה יכול להיות שינוי, על פי איוון Arce, קצין הטכנולוגיה הראשי עם Core Security Technologies.

בעוד התחרות Pwn2Own היה קורה, חוקרים מחברתו של ארצ'ה דיברו בחדר ישיבות אחר, והדגימו תוכנית שכתבו כי הם יכולים לשמש את התוקפים לאחר שהצליחו לפרוץ לטלפון נייד. הדבר המעניין בתוכנת הלייקוד של Core הוא שהוא יכול לפעול גם באייפון וגם בגוגל אנדרואיד, דבר המעיד על כך שפושעים יכולים לכתוב באופן תיאורטי פיסת קוד אחת שתפעל בשני הפלטפורמות.

בחודשים האחרונים, הרים לאחרונה, והגיע באחרונה לנקודת "נקודת מפנה", שם יש סיכוי רב יותר שיתגלו התקפות מוצלחות יותר, אומר ארק. דבר אחד, הם נפתחים ויכולים להפעיל יותר ויותר תוכנות צד שלישי. באופן מסורתי, חברות הטלפון שלטו בחוזקה ביישומים שפועלות ברשתות שלהם - בשלב מסוים טענו AT & T בתחילה שטלפונים של צד שלישי ישברו את הרשת שלה. כיום, כל מה שנדרש הוא 25 דולר וכתובת Gmail כדי לפתח אפליקציות לאנדרואיד.

בשיחה נוספת בנושא אבטחה בנייד, הראה סטודנט לתואר שני באוניברסיטת מישיגן, ג'ון אוברהייד, כיצד ניתן להערים על משתמשי Android בהתקנת יישומים זדוניים על ידי התוקף באמצעות מה שמכונה "התקפת אדם באמצע".

טלפונים הם חזקים יותר, מאומצים באופן נרחב יותר וזולים יותר ממחשבים אישיים, ולעתים קרובות הם מאחסנים נתונים חשובים, מה שמעניק לאקרים תמריץ כספי ללכת אחריהם, אמר ארצ'ה

אבטחה, אבטחה, אבטחה יותר

אבטחה, אבטחה, אבטחה יותר

חדשות אבטחה נשלט השבוע, וזה יהיה ללא ספק יהיה גם בשבוע הבא, כמו גם עם Black Hat ו Defcon ...

Microsoft פרסמה פתרון אבטחה מאובטח עבור Internet Explorer כאמצעי סטארגאפ, עד שהחברה מפרסמת עדכון אבטחה מלא עבור דפדפן האינטרנט שלה ביום שישי. הפתרון החדש "Fix it" מסייע בהגנה על המשתמשים ב- Internet Explorer 6, 7, 8 ו- 9 מתוך בעיית שחיתות בזיכרון שנחשפה לאחרונה, אשר מספר מומחי אבטחה ראו בשימוש פעיל. הפגיעויות עלולות לאפשר לפורץ לקבל גישה מרחוק למערכת שלך עם אותן הרשאות משתמש, כולל היכולת להתקין או להסיר תוכניות, לשנות קבצים וליצור חשבונות משתמש חדשים.

Microsoft פרסמה פתרון אבטחה מאובטח עבור Internet Explorer כאמצעי סטארגאפ, עד שהחברה מפרסמת עדכון אבטחה מלא עבור דפדפן האינטרנט שלה ביום שישי. הפתרון החדש "Fix it" מסייע בהגנה על המשתמשים ב- Internet Explorer 6, 7, 8 ו- 9 מתוך בעיית שחיתות בזיכרון שנחשפה לאחרונה, אשר מספר מומחי אבטחה ראו בשימוש פעיל. הפגיעויות עלולות לאפשר לפורץ לקבל גישה מרחוק למערכת שלך עם אותן הרשאות משתמש, כולל היכולת להתקין או להסיר תוכניות, לשנות קבצים וליצור חשבונות משתמש חדשים.

[קשורים:

ACLU מתלונן ל- FTC שמפעילים סלולריים עם גרסאות מותאמות אישית של Android המוצעים על ידי מפעילים סלולריים גדולים בארה"ב לא לקבל עדכוני אבטחה באופן קבוע כמו טלפונים של גוגל, או טלפונים חכמים של ספקים אחרים כמו מיקרוסופט, על פי תלונה על ידי איגוד החירויות האזרחיות האמריקאיות לועדת הסחר הפדרלית.

ACLU מתלונן ל- FTC שמפעילים סלולריים עם גרסאות מותאמות אישית של Android המוצעים על ידי מפעילים סלולריים גדולים בארה"ב לא לקבל עדכוני אבטחה באופן קבוע כמו טלפונים של גוגל, או טלפונים חכמים של ספקים אחרים כמו מיקרוסופט, על פי תלונה על ידי איגוד החירויות האזרחיות האמריקאיות לועדת הסחר הפדרלית.

טלפונים חכמים עם גרסאות מותאמות אישית של אנדרואיד המוצעים על ידי מפעילי הסלולר בארה"ב גדולים לא מקבלים עדכוני אבטחה באופן קבוע כמו טלפונים של Google, או טלפונים חכמים של ספקים אחרים כמו מיקרוסופט, על פי תלונה של איגוד החירויות האזרחיות של ארה"ב לועדת הסחר הפדרלית.