На провеждащото се във Ванкувър, Канада, ежегодно хакерско състезание Pwn2Own 2010 специалисти по безопасността проведоха показателни атаки, насочени срещу уеб-браузъри.

Ралф-Филип Вейнман (в средата), разбил заедно с Винченцо Иоццо защитата на Apple iPhone 3GS.

Pwn2Own се организира от TippingPoint в рамките на конрефенцията CanSecWest. Състезанието е с награден фонд $100 000 и се провежда за четвърти път.

Италианецът Винченцо Иоцо (Vincenzo Iozzo), работещ в Zynamics, и Ралф-Филип Вейнман (Ralf-Philipp Weinmann), научен сътрудник в Лабораторията за алгоритми, криптология и безопасност на Люксембургския университет, буквално за 5 минути разбиха защитата на мобилния Safari, получавайки достъп до iPhone 3GS и стартираха на него програма, изпращаща копие на базата данни от СМС съобщения на отдалечен сървър (включително и тези, които са изтрити от потребителя).

Хакерите са използвали т.нар. възвратно ориентирано програмиране, където кодовите инстрикции, локализирани в различни части на оперативната памет, сякаш се събират заедно.

Това е първата пълнофункционална атака срещу iPhone от април 2008, когато Apple пусна iPhone OS 2.0. По време на миналогодишното състезание хакването бе неуспешно.

Отборът на хакерите получи световна известност, $15 000 и самия телефон.

Чарли Милър (Charlie Miller), аналитик от Independent Security Evaluators, за броени минути проведе успешна атака на Safari 4 под управлението на Mac OS X Snow Leopard на MacBook Pro. Наградата – ноутбук и $10 000. Това е неговия трети успех при разбиване на защитата на Safari.

Internet Explorer 8, работещ под Windows 7, бе хакнат от Питър Врьогденхил (Peter Vreugdenhil), независим изследовател по въпросите на безопасността от Холандия. Неговата атака е наречена “технически впечатляваща”, тъй като е успяла да заобиколи Data Execution Prevention (DEP) и Address Space Layout Randomization (ASLR), вградените в ОС механизми за первенция на билшинството атаки.

Firefox 3 под Windows 7 падна под натиска на немския студент Нилс (Nils – фамилията му не се споменава), който на миналогодишното Pwn2Own показа работещи експлойти за Internet Explorer, Firefox и Safari.

И двамата участника получиха по ноутбук и $10 000.

От всички браузъри само Google Chrome 4 успя да се противопостави на всички атаки.

Източник: idg.bg