Pwn2Own: Tysiące dolarów za włamanie do BlackBerry

Avatar
Piotr Barycki
23.07.2012

Bezpieczeństwo urządzeń mobilnych staje się w ostatnich latach problemem coraz bardziej widocznym, nie tylko w korporacjach, gdzie bezpieczeństwo informacji od zawsze jest priorytetem, ale również w przypadku zwykłych użytkowników, którzy na swoich smartfonach przechowują coraz więcej istotnych danych. Oczywiście nie zawsze wszystkie luki w oprogramowaniu jest w stanie wykryć producent, którego czasem muszą wyręczyć – kierowani złymi lub dobrymi intencjami – zaawansowani użytkownicy. Aby skierować ich umiejętności w odpowiednim kierunku powstał konkurs Pwn2Own, który w tym roku doczekał się kolejnej odsłony.

Tegoroczne zadanie jest praktycznie identyczne, jak w poprzednim roku – należy odnaleźć rozwiązanie, które przy zerowym lub minimalnym udziale użytkownika telefonu, pozwoliłoby bez jego wiedzy na uzyskanie dostępu do prywatnych informacji, takich jak np. wiadomości email, książka adresowa czy galeria zdjęć. Tym razem jednak szczególny nacisk kładzie się na zagrożenia związane z wykorzystaniem najnowszych technologii, takich jak np. NFC, które coraz częściej można spotkać we współczesnych smartfonach, w tym m.in. 9900/9930 czy 9360. Oczywiście nadal można korzystać ze „standardowych” dróg, takich jak chociażby wyszukiwanie luk w przeglądarkach mobilnych.

To właśnie niedoskonałość nowej przeglądarki WebKit pozwoliła w zeszłym roku hakerom na włamanie się do flagowego w tamtym okresie modelu Torch. Vincenzo Iozzo, Willem Pinckaers i Ralf Philipp Weinmann, uzyskali w ten sposób dostęp do zdjęć użytkownika, który wszedłby na odpowiednio przygotowaną stronę. Problem został oficjalnie potwierdzony przez Research In Motion niedługo później  i otrzymał 6,8 punktów (na 10 możliwych) w klasyfikacji CVSS. Do momentu jego usunięcia, firma zalecała całkowite wyłącznie obsługi JavaScript w przeglądarce, w modelach pracujących pod kontrolą oprogramowania systemowego w wersji 6.0.

Na szczęście, dzięki wykryciu usterki w ramach konkursu, dokładna metoda jej wykorzystania nie dostała się nigdy w niepowołane ręce, a jej istnienie zostało potwierdzone jedynie w warunkach laboratoryjnych, dzięki czemu żaden użytkownik nie utracił swoich bezcennych danych.

W tym roku nagrody rozpoczynają się od 20 000$, a kończą na 100 000$, w zależności od metody, która pozwoli na dostęp do prywatnych informacji właściciela telefonu. Oczywiście w konkursie biorą udział nie tylko smartfony BlackBerry, w związku z czym będzie to doskonała okazja, aby zobaczyć, jak na tle innych producentów prezentują się telefony Research In Motion.

via: zdnet