브라우저에서 해킹 당함 보안 표시

수요일 CanSecWest 보안 컨퍼런스에서 모바일 장치가 주목을 받았지만 인기있는 해킹 경연 대회에서 브라우저 버그가 주목을 받았다.

회의 주최자는 브라우저 나 브라우저에서 이전에 알려지지 않은 결함을 대상으로 한 공격을 표시하도록 참석자를 초대했다. 전시회의 연례 Pwn2Own 경연 대회에서 모바일 장치. 첫날이 끝날 무렵 Internet Explorer, Safari 및 Firefox가 모두 해킹 당했지만 5 명의 모바일 장치에서 TippingPoint가 모바일 버그 당 10,000 달러를 지불하고 있지만 스폰서 인 TippingPoint가 그래도 손을 뻗었습니다. 브라우저 결함에 대해 지불하는 금액의 두 배. 공격을 계산하려면 해커가 버그를 사용하여 시스템에서 코드를 실행해야했습니다. 경연 대회에서 발견 된 버그는 티핑 포인트 (TippingPoint)가 심사 한 후 관련 소프트웨어 공급 업체에 전달되어 패치됩니다.

[추가 정보: 모든 예산에 가장 적합한 안드로이드 폰입니다.]

첫 번째 브라우저는 매킨토시에서 실행되는 애플의 사파리 브라우저였다. 작년 콘테스트 수상자 인 Charlie Miller는 작년 이벤트 준비 중 발견 한 버그로 Mac을 빠르게 해킹했습니다. 밀러 (Miller)의 애플 해킹이 많은 주목을 받고 있지만, 사파리는 쉬운 목표이다. 그는 해킹 직후 인터뷰에서 말했다. "거기에는 많은 버그가 있습니다."

Microsoft의 Internet Explorer는 훨씬 나아지지 않았습니다. 또한 닐스 (Nils)로만 조직자로 자신을 밝힌 또 다른 해커는 곧 Internet Explorer 8을 해킹했다. 닐스는 사파리와 파이어 폭스에 대한 악용 사례를 공개함으로써 방에있는 해커들을 놀라게했다.

밀러는 휴대 전화는 공격을받지 않습니다. 한 가지로, 휴대 전화 공격을 규제하는 규칙은 엄격하여 사용자 상호 작용이 거의없이 악용 될 수 있어야합니다. 장래에, 이러한 제한이 완화되어 해커에게 더 많은 공격 경로가 제공됩니다.

하지만 Miller는 iPhone과 같은 모바일 장치로의 침입은 PC 해킹보다 "어렵습니다"라고 말합니다. Miller와 같은 보안 연구원이 현재 스마트 폰에 관심을 갖고있을지라도 모바일 플랫폼을 공격하는 방법에 대한 많은 연구 및 문서화가 없었습니다. Miller는 "그들은 연구하기가 쉽지 않다."라고 말했다.

그러나 Core Security Technologies의 CTO 인 Ivan Arce에 따르면이 변화가있을 수있다.

Pwn2Own 대회가 진행되는 동안 Arce의 회사 연구원은 또 다른 회의실에서 그들이 휴대 전화를 해킹 할 수있게되면 공격자가 사용할 수있는 프로그램을 시연했다. 코어의 셸 코드 소프트웨어에 대한 흥미로운 점은 애플 아이폰과 구글 안드로이드 모두에서 동작 할 수 있다는 점이다. 범죄자들이 이론적으로 두 플랫폼 모두에서 실행될 수있는 코드 하나를 작성할 수 있다는 것을 보여준다.

최근 몇 달간, Arce는 전화가 매력적인 대상이되는 몇 가지 요인이 있다고 Arce는 말했다. Arce는 최근에 공격이 더 많이 발생할 가능성이있는 "전환점"에 도달했다고 전했다. 우선, 그들은 개방되어 점점 더 많은 타사 소프트웨어를 실행할 수 있습니다. 전통적으로 전화 회사는 자신의 네트워크에서 실행되는 응용 프로그램을 매우 엄격하게 제어했습니다. AT & T는 처음에 제 3 자 전화가 네트워크를 파괴 할 것이라고 주장했습니다. 현재 안드로이드 용 애플리케이션을 개발하기 위해 필요한 것은 모두 미화 25 달러와 Gmail 주소입니다.

미시간 대학의 대학원생 인 Jon Oberheide는 모바일 보안 이야기를 시작으로 안드로이드 사용자가 악의적 인 애플리케이션 설치 방법을 속일 수있는 방법을 보여주었습니다 공격자가 중간자 (man-in-the-middle) 공격으로 알려진 것을 사용합니다.

휴대 전화는 PC보다 강력하고 널리 채택되고 저렴하며 중요한 데이터를 저장하기 때문에 해커가 후발을 수행 할 재정적 인 동기를 부여합니다., Arce는 말했다.