| | В канадском Ванкувере стартовало четвертое ежегодное соревнование по взлому программного обеспечения Pwn2Own 2010. Мероприятие проводится при поддержке компании TippingPoint Technologies в рамках конференции в сфере информационной безопасности CanSecWest. Призовой фонд составляет $100 тыс., из которых $40 тыс. будут разделены между победителями конкурса по взлому веб-браузеров.
Рекордный денежный приз в размере $15 тыс. ($10 тыс. основная награда плюс бонус в размере $5 тыс.) достался двум хакерам: 24-летнему итальянскому разработчику из компании Zynamics Винченцо Иоццо (Vincenzo Iozzo) и Ральфу-Филиппу Вьенману (Ralf-Philipp Weinmann), 32-летнему исследователю из Лаборатории алгоритмов, криптологии и безопасности при Люксембургском университете. Вместе им удалось взломать iPhone 3GS с 3-й версией прошивки и за 20 секунд получить полный доступ к базе данных SMS-сообщений, хранящихся во флэш-памяти смартфона, включая сообщения, которые были удалены пользователем. Взлом был выполнен при помощи специального веб-сайта, на который был направлен мобильный веб-браузер Safari.
На поиск бреши в безопасности браузера и написание эксплойта потребовалось 2 недели. Хакеры воспользовались особенностями системы цифровой подписи приложений, которую Apple использует в iPhone OS. «Если бы мы выполняли взлом удаленно, нам было бы достаточно, чтобы пользователь посетил всего лишь одну страницу нашего сайта, чтобы получить полный доступ к всем его SMS-сообщениям и скачать их на наш сервер», - говорит Вьенман, который в 2007 г. вместе с двумя коллегами продемонстрировал значительно более быстрый метод взлома WEP-шифрования в Wi-Fi-сетях. Помимо SMS-сообщений, написанный хакерами эксплойт может открывать доступ к телефонной книге, электронной почте и мультимедийным файлам.
Компания TippingPoint, спонсор мероприятия, приобрела исключительное право на владение информацией о данной уязвимости и собирается передать ее Apple. До тех пор пока данная уязвимость не будет устранена, информация будет находиться под эмбарго, сообщает ZDNet.
Денежные призы в размере $10 тыс. получили эксперт из американской компании Independent Security Evaluators Чарли Миллер (Charlie Miller) за злом Safari на MacBook Pro, Питер Вреугденхил (Peter Vreugdenhil) за взлом Internet Explorer 8 в Windows 7 и студент под именем Нильс (Nils) за взлом Firefox, также в Windows 7.
Чарли Миллер до этого уже дважды побеждал в конкурсе – в прошлом и позапрошлом году. В 2009 г. ему потребовалось 10 секунд, чтобы взломать Safari. Организаторы мероприятия особо отметили работу впервые принимающего участие в конкурсе Питера Вреугденхила, который для взлома IE8 обошел Data Execution Prevention, встроенный в Windows механизм предотвращения выполнения данных путем дополнительных проверок оперативной памяти при помощи аппаратного и программного обеспечения. Взлом браузера Google Chrome запланирован на второй день мероприятия.
cnews.ru | |
