Browsers worden gehackt voordat telefoons tijdens beveiligingsupdate

Mobiele apparaten stonden woensdag in de schijnwerpers op de CanSecWest-beveiligingsconferentie, maar het waren browser-bugs die alle aandacht kregen tijdens de populaire hackwedstrijd van de show.

Conferentie-organisatoren hadden genodigden uitgenodigd om aanvallen weer te geven die op eerder onbekende fouten in browsers of mobiele apparaten in de jaarlijkse Pwn2Own-wedstrijd van de show. Aan het einde van de eerste dag waren Internet Explorer, Safari en Firefox allemaal gehackt, maar niemand kon de vijf mobiele apparaten pakken, hoewel de sponsor van de wedstrijd, TippingPoint, 10.000 dollar per mobiele bug uitbetaalt, tweemaal wat het betaalt voor de gebreken van de browser.

Om te kunnen tellen, moesten hackers de bugs gebruiken om de code op de machine te laten draaien. De bugs ontdekt tijdens de wedstrijd worden doorgelicht door TippingPoint en worden vervolgens overgedragen aan de bijbehorende softwareleveranciers om te worden gepatcht.

[Meer lezen: de beste Android-telefoons voor elk budget.]

De eerste browser die werd gestart, was de Safari-browser van Apple op een Macintosh. Winnaar van vorig jaar, Charlie Miller hackte snel de Mac met een bug die hij vond tijdens de voorbereidingen voor het evenement van vorig jaar. Hoewel Millers Apple-hack hem veel aandacht heeft geschonken, is Safari een gemakkelijk doelwit, zei hij in een interview vlak na zijn hack. "Er zijn veel bugs die er zijn."

Miller zei dat hij niet verrast was om de hackers te zien. mobiele telefoons gaan zonder aanval. Om te beginnen waren de regels voor het aanvallen van mobiele telefoons streng, waardoor de exploit vrijwel zonder interactie van de gebruiker moest werken. In de komende dagen zullen deze beperkingen verslappen, waardoor hackers meer aanvalsmogelijkheden krijgen. Toch zegt Miller dat het inbreken in mobiele apparaten zoals de iPhone 'moeilijker' is dan pc-hacking. Hoewel beveiligingsonderzoekers zoals Miller op dit moment mogelijk geïnteresseerd zijn in slimme telefoons, is er tot op heden niet veel onderzoek en documentatie geweest over hoe mobiele platforms kunnen worden aangevallen. "Ze maken het niet gemakkelijk om er onderzoek naar te doen", zei Miller.

Maar dat kan veranderen, volgens Ivan Arce, chief technology officer bij Core Security Technologies.

Terwijl de Pwn2Own-wedstrijd gaande was, spraken onderzoekers van het bedrijf van Arce in een andere vergaderruimte en demonstreerden een programma dat ze schreven en dat aanvallers konden gebruiken zodra ze erin geslaagd waren een mobiele telefoon te hacken. Het interessante van Core's shellcode-software is dat het zowel op de Apple iPhone als op Google Android kan worden uitgevoerd, wat aantoont dat criminelen theoretisch een stuk code kunnen schrijven dat op beide platforms zou kunnen draaien.

In de afgelopen maanden heeft onderzoek naar mobiele apparaten opgepikt en onlangs een "kantelmoment" heeft bereikt, waar meer succesvolle aanvallen waarschijnlijk naar boven zullen komen, zei Arce.

Er zijn verschillende factoren die telefoons aantrekkelijk maken, aldus Arce. Ten eerste openen ze zich en kunnen ze steeds meer software van derden gebruiken. Traditioneel hebben telefoonbedrijven de toepassingen die op hun netwerken draaien zeer strak gecontroleerd - AT & T stelde aanvankelijk dat telefoons van derden zijn netwerk zouden verbreken. Vandaag de dag is alles wat nodig is US $ 25 en een Gmail-adres om applicaties voor Android te ontwikkelen.

In een andere mobiele beveiligingspraat van de openingsdag liet universiteitsstudent Jon Oberheide van University of Michigan zien hoe Android-gebruikers kunnen worden misleid om kwaadwillende applicaties te installeren door een aanvaller die een zogenaamde 'man-in-the-middle'-aanval gebruikt.

Telefoons zijn krachtiger, worden op grotere schaal gebruikt en zijn goedkoper dan pc's, en bevatten vaak belangrijke gegevens, waardoor hackers een financiële prikkel krijgen om achter hen aan te gaan, Zei Arce.