iPhone 4 ja BlackBerry Torch 9800 saivat kyytiä Pwn2Own-tapahtumassa

3
Kaarlo Räihä

iPhone 4 ja BlackBerry Torch 9800 saivat kyytiä Pwn2Own-tapahtumassa
CanSecWest-tietoturvatapahtumassa järjestettävä tietoturva-aukkoihin liittyvä Pwn2Own-kisa jatkui eilen älypuhelimia vastaan kohdistuvilla hyökkäyksillä. Hakkerit onnistuivat yrityksissään iPhone 4 - ja BlackBerry Torch 9800 -puhelinten osalta, joista molemmat luovuttivat tietojaan hakkereille.

iPhone 4:n kohdalla osoitekirjasta tietoja vievän hyökkäyksen kehittivät Charlie Miller ja Dion Blazakis. Tässä tapauksessa puhelimen Mobile Safari -selaimen johdattaminen sopivasti muotoilulle web-sivulle riitti, jolloin puhelimesta voidaan viedä tietoja tietoturva-aukon avulla.

Millerin mukaan hyökkäys ei toimi sellaisenaan uuden iOS 4.3-version kanssa, koska Apple on parantanut siinä puhelimeen tietoturvaa ASLR-tekniikalla (address space layout randomization). Hyökkäys toimii kuitenkin iOS:n 4.2.1-versiossa, joten iPhone 3G:n omistajat ovat edelleen vaaravyöhykkeellä.



BlackBerry Torch 9800:n osalta tietoturva-aukko löytyy WebKit-pohjaisesta selaimesta, joten myös tämän puhelimen kohdalla selaimen ohjaaminen pahantahtoiselle web-sivustolle riittää. Hakkerit Vincenzo Iozzo, Willem Pinckaers ja Ralf Philipp Weinmann työstivät hyökkäystä pidemmän aikaa, sillä Research In Motion (RIM) ei tarjoa sovelluskehittäjille tarkkoja tietoja puhelimen toiminnasta, joten hyökkääjät joutuivat turvautumaan yritys ja erehdys -menetelmään.

Toimivan tekniikan löydyttyä operaatio oli kuitenkin helppo suorittaa, koska RIM:in nykyiset matkapuhelinmallit eivät hyödynnä esim. DEP- (data execution prevention) tai ASLR-tekniikoita. RIM:in tietoturvapuolella työskentelevän Adrian Stonen mukaan näihin epäkohtiin on tulossa muutoksia, ja nyt löytyneen aukon korjaaminen aloitetaan välittömästi.

Molemmat onnistuneen hyökkäyksen tehneet joukkueet saivat palkinnoksi 15 000 dollaria ja hyökkäyksessä murtuneen puhelimen.

Kisassa olivat mukana lisäksi Samsung Nexus S - ja Dell Venue -puhelimet, mutta näiden murtamiseen ilmoittautuneet hakkerit eivät syystä tai toisesta kokeilleet onneaan laitteiden kanssa paikan päällä.


Tilaa Puhelinvertailun uutiskirje!

Lähetämme noin kerran viikossa uutiskirjeen, joka sisältää viikon ajalta tärkeimmät uutisemme.

Tilaamalla uutiskirjeemme hyväksyt sääntömme ja tietosuojakäytäntömme.

Parhaat kännykkätarjoukset

HMD Skyline – hinta laskenut -40%

HMD Skyline
299 € Elisa
399 € Power
399 € DNA

Alin hinta viikko sitten: 499 €

Honor 90 Lite – hinta laskenut -34%

Honor 90 Lite
99 € Elisa
99 € DNA
169 € Euronics

Alin hinta viikko sitten: 149 €

Motorola Edge 50 – hinta laskenut -33%

Motorola Edge 50
399 € Elisa
594 € Verkkokauppa.com
599 € Proshop

Alin hinta viikko sitten: 594 €

Honor 200 Lite – hinta laskenut -26%

Kommentit (3)

perhana
perhana

1

"Kisassa olivat mukana lisäksi Samsung Nexus S - ja Dell Venue -puhelimet, mutta näiden murtamiseen ilmoittautuneet hakkerit eivät syystä tai toisesta kokeilleet onneaan laitteiden kanssa paikan päällä"

Niinpä... vahvinkin betonibunkkeri murtuu jossain vaiheessa jos tarpeeksi järeällä tykillä moukaroidaan, kun taas lasipalatsikin voi säilyä ehjänä vaikka kuinka kauan kunhan kukaan ei heitä sitä ensimmäistä kiveä ;-)
Hieman yllättävää kyllä että kukaan ei ole yrittänyt WP7:aa murtaa vielä.. androidin kohdalla sen kyllä ymmärtää koska noissa piireissähän sen murtamista pidettäisiin jumalanpilkkana, ja eihän sitä murtaa tarvitsekkaan, googlehan on jättänyt ovet valmiiksi auki android-marketin kautta.

Vastaa
Jarissimo
Jarissimo

2

Vai olisiko syynä sittenkin reikien vähyys? Tiedäppä häntä, mutta huolestuttavaa on, että reikä on auki edelleen 3g:ssä, mitä on myöskin paljon käytössä..

Testailivat myöskin Selaimia ja sielläkään ei Chromeen edes yritetty, mikä varmaan johtuu erittäin paljon sen edistyneestä tietoturva sydeemistä (hiekkalaatikosta). Safaria taas paikkailivat juuri ennen murtamista, mutta siltikin sen murtaminen onnistui, kuten myös IE:n.

Firefox oli toinen johon ei yritetty.

Vastaa

Kommentoi artikkelia

Pysy aiheessa ja kirjoita asiallisesti. Epäasialliset viestit voidaan poistaa tai niitä voidaan muokata toimituksen harkinnan mukaan.

Haluan ilmoituksen sähköpostitse, kun ketjuun kirjoitetaan uusi viesti.