Pwn2Own 2011: iPhone i BlackBerry złamane

Hakerzy biorący udział w słynnym konkursie Pwn2Own zdołali wczoraj złamać zabezpieczenia smartfonów Apple iPhone 4 oraz RIM BlackBerry Torch 9800. Do iPhone'a włamał się m.in. Charlie Miller - a to oznacza, że ten amerykański haker wygrał cztery kolejne edycje konkursu (za każdym razem wykorzystując do tego luki w jakimś produkcie firmy Apple).

W tym roku Miller zamierzał włamywać się do Safari oraz zainstalowanego w iPhone 4 systemu iOS. Z Safari mu się nie udało (głównie dlatego, że ktoś zrobił to przed nim - a regulamin konkursu stanowi, że wygrywa ten, kto pierwszy sforsuje zabezpieczenia danego produktu), ale z iPhone było zupełnie inaczej. Miller zaatakował smartfon firmy Apple wraz z kolegą z firmy Independent Security Evaluators - Dionem Blazakisem.

Nocny exploit

Dość szybko udało im się uruchomić w urządzeniu złośliwy kod - choć Miller przyznał później, że była to w głównej mierze zasługa jego partnera. "Dion doskonale się przygotował, przeprowadził obszerne analizy zabezpieczeń iPhone'a. Nad exploitem, który wykorzystaliśmy podczas ataku, pracowaliśmy do ostatniej chwili - jeszcze minionej nocy" - skomentował haker.

Na razie nie wiadomo, jaką dokładnie lukę wykorzystali Miller i Blazakis - regulamin Pwn2Own zabrania im podawania takich informacji. Szczegółowy opis błędu trafił do organizatora- firmy HP TippingPoint. Jej przedstawiciele przekażę go producentowi dziurawej aplikacji i dadzą mu sześć miesięcy na rozwiązanie problemu. Później informacje o luce zostaną upublicznione.

Włamanie w kilka sekund

Do BlackBerry włamał się międzynarodowy zespół specjalistów - w jego skład wchodzili m.in. Vincenzo Iozzo z Włoch oraz Holender Ralf-Philipp Weinmann (obaj już raz wygrali Pwn2Own - włamując się rok temu do iPhone'a 3GS). Podobnie jak w przypadku iPhone'a 4, atak na BlackBerry trwał dosłownie kilka sekund.

Oba zwycięskie zespoły dostały po 15 tys. USD nagrody oraz urządzenia, do których się włamali.

Warto dodać, że na razie nikt nie zdołał włamać się do czterech innych celów wystawionych na Pwn2Own 2011 - smartfonów Samsung Nexus S (z systemem Android) i Dell Venue (z Windows Phone 7), a także przeglądarek Mozilla Firefox i Google Chrome. Nikt nawet nie podjął takiej próby - co zdaniem organizatorów oznacza, że sforsowanie ich zabezpieczeń jest dużo trudniejsze niż w przypadku aplikacji, które już "padły" podczas konkursu.

Wiadomo, że Androida zamierzał atakować Jon Oberheide, (szef firmy Duo Security), zaś Windows Phone 7 - George Hotz (znany jako "geohot" - słynny haker, który złamał zabezpieczenia konsoli Playstation 3). Obaj jednak w ostatniej chwili wycofali się z rywalizacji - prawdopodobnie dlatego, że producenci oprogramowania na krótko przed startem konkursu zaktualizowali swoje aplikacje (i być może usunęli w ten sposób luki, które chcieli wykorzystać hakerzy).


Zobacz również