Online Tržište

Nizozemski sigurnosti istraživači uspjeli su hakirati Apple iOS na Pwn2Own natječaju koje se održava tijekom sigurnosne konferencije EUSecWest u Amsterdamu. Nizozemski Certified Secure tim osvojio je nagradu od 30.000 dolara za iskorištavanje “zero-day” ranjivost u iOS 5.1.1 i “Golden master” u iOS 6, sa kojim su uspjeli zaobići Apple-ov zahtijev za upisivanje koda, kao i Safari Sandbox, omogućujući napadaču da sa Appple uređaja ukrade slike, video, kontakate i povijest pregledavanja.

Ova ranjivost je uspješno testirana na iPhone 4S, iPhone 4, iPad i iPod touch. No, ova ranjivost ne odnosi se samo na ove uređaje. Nizozemski tim navodi da su se sa razlogom odlučili za ovu ranjivost jer je ona prisutna u iOS 6, što znači da je i novi iPhone osjetljiv na napade ove vrste.

Joost Pol i njegov kolega Daan Keuper navode da im je trebalo oko tri tjedna da razviju WebKit browser exploit te da su to radili u svoje slobodno vrijeme. Pored ostalih nagrada oni su osvojili i 30.000 dolara za dokazivanje ove ranjivosti. Joost Pol, koji je izvršni direktor Certified Secure i pored svega smata da je iPhone još uvijek najsigurniji pametni telefon koji se može pronaći na tržištu.

Treba reći i da je Britanski tim sigurnonih istraživača također prikazao dve prethodno neotkrivene ranjivosti u Android 4.0.4 hakirajući Samsung Galaxy S3.

Mi smo pokazali da je kroz NFC moguće prenijeti zlonamjerne datoteke na uređaj, što nam je omogućilo da izvršimo kod na uređaju a potom i da dobijemo potpunu kontrolu nad uređajem pomoću druge ranjivosti za eskalaciju privilegija,

priopćio je MWR Labs.

MWR Labs je koristio dvije ranjivosti od kojih prva uzrokuje korupciju memorije kako bi se dobila ograničena kontrola na pametnim telefonom a nakon toga koriste drugu za eskaliranje privilegija i upad u sandbox. To im je dalo mogućnost da instaliraju Mercury, njihov specifični Android okvir, a zatim da ekstraktuju korisničke podatke iz uređaja, kao što su SMS i kontakt informacije, kao i da upućuju pozive s telefona.

Britanski MWR Labs također je na Pwn2Own natječaju osvojio nagradu od 30.000 dolara.

Posljednjeg dana CanSecWest konferencije tokom koje se održavalo Pwnium takmičenje, Google Chrome je po treći put hakiran na način da je obiđen njegov toliko hvaljeni Sandbox.

Haker koji se predstavio samo kao PinkiePie kazao je da je prošli tjedan proveo radeći na ovom napadu. Napad kombinira tri do sada nepoznate ranjivosti sa kojim se uspijeva obezbjediti potpuni pristup sustavu na Dell Inspiron na kojem je ažurirani Window 7 i u potpunosti zakrpljena verzija Chrome preglednika.

PinkiePie navodi da su se sve tri ranjivosti odnosile na Chrome kod što je značilo da se kvalificirao za prvu nagradu takmičenja koj iznosi 60.000 dolara. Članovi Google tima je potvrdio ovo dostignuće i u manje od 24 časa uradio update Chrome-a koji popravlja ovaj propust.

Također, u srijedu je prvog dana takmičenja Rus Sergej Glaznov hakirao Chrome demonstrirajući dvije ranjivosti u njegovom kodu koje zaobilaze Sandbox. Google sigurnosni tim je nekoliko časova nakon potvrde ovog hakiranja uradio ažuriranje i zakrpio ove propuste.

Potvrđeno je i da je hack Francuske sigurnosne kompanije VUPEN iskoristio ranjivosti u Adobe Flash tako da će se morati zadovoljiti utješnom nagradom od 20.000 dolara.

Sve ove godine kako se tamičenje organizira Google Chrome je bio jedini pretraživač koji nije bio hakiran, njegov Sandbox je bio neprobojna barijera za sve one koji su to pokušali, sve do prije nekoliko dana.

Google tim navodi da su jako zadovoljni ovogodišnjim takmičenjem i da vrijednost nije u broju otkrivenih bugova, nego spoznaja koja dolazi promatranjem kako je jedan broj napada zaobišao vješto postavljenu obranu.

Tokom Google Pwinium takmičenja koje se održava na CanSecWest konferenciji o bezbednosti u sredu u Vankuveru, ruski lovac na softverske propuste Sergej Glazunov demonstrirao je kako je iskoristio propust Chrome preglednika i u potpunosti porazio toliko hvaljeni Chrome Sandbox.

Google Chrome je smatran jednim od najbezbedijih Web preglednika baš zbog svoje bezbednosne sandbox arhitekture, koja uvodi ograničenja u interakciji sa operativnim sistemom i značajno ograničava šta napadač može da uradi ako se iskoristi neku od ranjivosti preglednika.

Ovogodišnji Pwnium ima nagradni fond od milion dolara. Nagrađuju se svi oni koj iskoriste neku vrstu propusta u Chrome-u. Najveća nagrada je 60.000 dolara i dodeljuje se onima koji demonstriraju ranjivost samog Google Chrome koda.

Prvi koji će zaraditi glavnu nagradu je Sergej Glazunov koji je tokom prvog dana takmičenja demonstrirao ranjivost i u potpunosti aobišao Chrome Sandbox.

Google Chrome tim je potvrdio ovu ranjivost čestitajući Sergej Glazunovu kao prvom koji je osvojio glavnu nagradu.

Sergej Glazunov nije jedini koji je probio Chrome na Pwn2Own takmičenju, tim istraživača iz Francuske sigurnosne kompanije VUPEN takođe je uspeo u tome. Ranjivost je iskorištava dve greške, jednu da zaobiđe DEP (Data Execution Prevention) i ASLR (address space layout randomization) na Windows OS, koje su dizajnirane za sprečavanje izvršenja zlonamjernog koda čak i onda kada se ranjivost pronađe i drugu za zaobilaženje Chrome Sandbox. Kompanija nije otkrila druge pojedinosti osim da je ranjivost pronađena u "default-noj" instalaciji Google preglednika pa stoga Chrome tim za sada sumnja da je VUPEN iskoristio ranjivost u Flash Player plug-in koji dolazi sa pretraživačem.

Ako se to pokaže kao tačno kompanija će za to dobiti samo utešnu nagradu od 20.000 dolara.

Takmičenje traje do petka tako da ostaje da se vidi da li će se pojaviti još neko ko će da konkureiše za osvajanje glavne nagrade.

Kompanija Google obećala je novčane nagrade u iznosu od milion dolara onima koji uspešno hakiraju njegov Chrome pretraživač na bezbednosnoj konferenciji CanSecWest koja će se održati sledeće nedelje.

Google će nagraditi takmičare sa nagradama u iznosu od 60.000, 40.000 i 20.000 dolara u zavisnosti od težine podviga demonstriranih na Windows 7 računarima koji koriste Chrome pretraživač. Kompanija će takođe svim pobednicima pokloniti i po jedan svoj Chromebook. Članovi bezbednosnog tima kompanije najavili su ovaj Pwnium konkurs na svom blogu.

Pwn2Own takmičenje organizuje se već šest godina a novćane nagrade se dodeljuju onima koji uspeju da iskoriste ranjivosti pretraživaća i drugog Internet softvera. Na prošlogodišnjem takmičenju, Internet Explorer i Safari su bili srušeni, ali niko nije ni pokušao da hakira Chrome (uprkos tome što je Google ponudio dodatnih 20.000 dolara pored 15.000 dolara koje su obezbedili organizatori takmičenja).

Google Chrome je trenutno jedini pretraživač koji nikada na Pwn2Own takmičenju nije srušen. Kao jedan od ključnih razloga za to dosadašnji učesnici takmičenja navode problem u zaobilaženju Google Sandbox bezbednosti.

Da bi mogli da konkurišu za osvajanje nagrada svi učesnici takmičenja moraju da dostave svoja dostignuća direktno kompaniji Google, i to je uslovljeno time da ta dostignuća nisu negde pre objavljena, na blogovima ili negde drugo.

Chrome je jedini preglednik od velike četvorke, u koju još spadaju Safari, Firefox i Internet Explorer, koji je na Pwn2Own hakerskom natjecanju uspjeo ostati ne hakiran u posljednje dvije godine. Očito da je dosadašnji uspjeh potaknuo Google-ovu samouvjerenost toliko da je sada ponudio nagradu od 20.000 dolara i laptop CR-48 kojeg pokreće Chrome OS za hakera koji uspije pronaći i iskoristi sigurnosnu rupu u njegovom Chrome pregledniku.

Natjecatelj mora koristiti isključivo ranjivosti prisutnu u Google kodu i izbjeći sandbox kako bi hakiranje bilo uspješno.

U organizaciji Zero Day Initiative (ZDI) tima na HP TippingPoint, natjecanje nudi dodatne nagrade u ukupnom iznosu od 105.000 dolara za uspješno hakiranje Microsoft Internet Explorer-a, Apple Safari-a i Mozilla Firefox-a, kao i mobitela: Dell Venue Pro kojeg pokreće Windows 7, iPhone 4 sa iOS, Blackberry Torch 9800 sa Blackberry 6 OS i Nexus S kojeg pokreće Google Android.

Uspješno hakiranje ovih uređaja hakeru donosi nagradu od 15.000 dolara u gotovini i sam uređaj, kao i monetarni bonus za daljnje ZDI podneske u 2011 godini.

Inače, Pwn2Own takmičenje održava se od 9. do 11. ožujka u Vancouveru na CanSecWest konferenciji.