iPhone a Blackberry podlehli útočníkům z Pwn2Own (2011)

V březnu roku 2011 se konala konference CanSecWest v kanadském Vancouveru, kde účastníci překonali zabezpečení iPhonu a Blackberry. Původně měl být takto testován i Android a Windows Phone 7, ale účastníci ohlášení na tyto systémy nakonec vůbec nedorazili.

V hledání bezpečnostní mezery jako první uspěli zkušení veteráni Charlie Miller a Dion Blazakis. Ti využili exploit využívající bezpečnostní nedostatek v internetovém prohlížeči Safari a úspěšně získali přístup k datům z adresáře.

Podobnou metodu použili i Vincenzo Iozzo, Willem Pinckaers a Ralf Philipp Weinmann při útoku na BlackBerry Torch s BlackBerry OS 6.0.0.246, jehož prohlížeč používal stejně jako iPhone renderovací jádro WebKit. Internetový prohlížeč byl napaden při návštěvě speciálně upravené internetové stránky se škodlivým kódem.

RIM poté reagoval na výsledky soutěže a vyzval uživatele, aby u svých strojů v zájmu vlastní bezpečnosti vypnuli JavaScript nebo úplně přestali používat internetový prohlížeč, dokud nebude vydán patch s opravou. JavaScript představoval bezpečnostní riziko umožňující útočníkovi získat přístup k datům uživatele z paměťové karty nebo vestavěné paměti s výjimkou její části určené pro aplikace.

Leave a Reply

Translate »