Los navegadores se piratean antes que los teléfonos en Security Show

Los dispositivos móviles fueron el centro de atención en la conferencia de seguridad CanSecWest el miércoles, pero fueron los errores del navegador los que captaron toda la atención en el popular concurso de piratería.

Los organizadores de la conferencia invitaron a los asistentes a mostrar ataques que apuntaban a fallas previamente desconocidas en los navegadores o dispositivos móviles en el concurso anual Pwn2Own del programa. Al final del primer día, Internet Explorer, Safari y Firefox habían sido pirateados, pero nadie investigó los cinco dispositivos móviles en juego, a pesar de que el patrocinador del concurso, TippingPoint, está pagando US $ 10.000 por error de dispositivo móvil, el doble de lo que está pagando por los defectos del navegador.

Para que los ataques cuenten, los piratas informáticos tenían que usar los errores para que el código se ejecutara en la máquina. Los errores descubiertos a través del concurso son revisados ​​por TippingPoint y luego son entregados a los proveedores de software asociados para que sean parcheados.

[Más información: los mejores teléfonos Android para todos los presupuestos.]

El primer navegador en navegar fue el navegador Safari de Apple ejecutándose en un Macintosh. El ganador del concurso del año pasado, Charlie Miller rápidamente pirateó la Mac usando un error que encontró mientras se preparaba para el evento del año pasado. Aunque la piratería de Miller en Apple le ha prestado mucha atención, Safari es un objetivo fácil, dijo en una entrevista justo después de su pirateo. "Hay muchos errores".

Sin embargo, a Internet Explorer de Microsoft no le fue mucho mejor. Otro hacker, que se identificó a sí mismo ante los organizadores solo como Nils, pronto había pirateado Internet Explorer 8. Nils luego cautivó a los hackers en la sala al desatar exploits para Safari y Firefox también.

Miller dijo que no estaba sorprendido de ver el los teléfonos móviles van sin ataque. Por un lado, las reglas que rigen los ataques a los teléfonos móviles son estrictas, y requieren que el exploit funcione prácticamente sin interacción del usuario. En los próximos días, estas restricciones se aflojarán, dando a los piratas informáticos más vías de ataque.

Aún así, Miller dice que irrumpir en dispositivos móviles como el iPhone es "más difícil" que piratear PC. Aunque los investigadores de seguridad como Miller pueden estar interesados ​​en los teléfonos inteligentes en este momento, hasta la fecha no ha habido mucha investigación y documentación sobre cómo atacar las plataformas móviles. "No facilitan la investigación", dijo Miller.

Pero eso puede estar cambiando, según Ivan Arce, director de tecnología de Core Security Technologies.

Mientras se desarrollaba el concurso Pwn2Own, investigadores de la compañía de Arce hablaron en otra sala de conferencias, demostrando un programa que escribieron que podría ser utilizado por los atacantes una vez que hayan logrado hackear un teléfono móvil. Lo interesante del software Shellcode de Core es que puede ejecutarse tanto en el iPhone de Apple como en Google Android, lo que demuestra que los delincuentes teóricamente podrían escribir un código que se ejecutaría en ambas plataformas.

En los últimos meses, la investigación sobre dispositivos móviles recogió y recientemente ha alcanzado un "punto de inflexión", donde es probable que surjan ataques más exitosos, dijo Arce.

Hay varios factores que hacen que los teléfonos sean objetivos atractivos, dijo Arce. Por un lado, se están abriendo y pueden ejecutar cada vez más software de terceros. Tradicionalmente, las compañías telefónicas han controlado muy estrictamente las aplicaciones que se ejecutan en sus redes: en un momento, AT & T inicialmente argumentó que los teléfonos de terceros romperían su red. Hoy, todo lo que se necesita es US $ 25 y una dirección de Gmail para desarrollar aplicaciones para Android. En otra conversación de seguridad móvil el día de apertura, el estudiante graduado de la Universidad de Michigan Jon Oberheide mostró cómo los usuarios de Android podrían ser engañados para instalar aplicaciones maliciosas por un atacante usando lo que se conoce como un ataque de hombre en el medio.

Los teléfonos son más potentes, más adoptados y más baratos que las PC, y a menudo almacenan datos importantes, dando a los piratas informáticos un incentivo financiero para perseguirlos, Dijo Arce.