Webbläsare får hackas före telefoner vid säkerhetsvisning

Mobila enheter tog strålkastaren på CanSecWest-säkerhetskonferensen onsdag, men det var webbläsarfel som fick all uppmärksamhet vid showens populära hackingstävling.

Konferens arrangörer hade bjudit deltagare att visa attacker som riktade sig till tidigare okända brister i webbläsare eller mobila enheter i showens årliga Pwn2Own-tävling. I slutet av den första dagen hade Internet Explorer, Safari och Firefox blivit hackade, men ingen tog en spricka på de fem mobila enheterna, trots att tävlingens sponsor, TippingPoint, betalar ut USD 10 000 per mobilbugg, två gånger vad det kostar för webbläsarens fel.

För attackerna att räkna, måste hackare använda buggarna för att få kod att köra på maskinen. Buggarna som avslöjas genom tävlingen blir uppmärksammade av TippingPoint och överlämnas sedan till de tillhörande mjukvaruförsäljare som ska patchas.

[Ytterligare läsning: De bästa Android-telefonerna för varje budget.]

Den första webbläsaren som gick var Apples Safari-webbläsare som kördes på en Macintosh. Förra årets tävlingsvinst, hackade Charlie Miller snabbt in i Mac med hjälp av ett fel som han hittade under förberedelserna för förra årets evenemang. Även om Miller's Apple hacking har gett honom mycket uppmärksamhet, är Safari ett enkelt mål, sade han i en intervju strax efter hackningen. "Det finns många buggar där ute."

Microsofts Internet Explorer gick dock inte mycket bättre. En annan hackare, som identifierade sig som organiserare bara som Nils, hade snart hackat Internet Explorer 8. Nils sa sedan till hackarna i rummet genom att släppa ut exploater för Safari och Firefox.

Miller sa att han inte var förvånad över att se Mobiltelefoner går utan attack. För det första var reglerna för mobilattackerna strikta, vilket kräver att exploitationen fungerar med praktiskt taget ingen användarinteraktion. Under de närmaste dagarna kommer dessa begränsningar att lossna, vilket ger hackare fler attacker.

Miller säger fortfarande att brytning i mobila enheter som iPhone är "hårdare" än PC-hacking. Även om säkerhetsforskare som Miller kanske är intresserade av smarta telefoner just nu har det hittills inte gjorts mycket forskning och dokumentation av hur man kan attackera mobila plattformar. "De gör det inte lätt att göra forskning på det", säger Miller. Men det kan förändras, enligt Ivan Arce, chefstekniker med Core Security Technologies.

Medan Pwn2Own-tävlingen pågick forskare från Arces företag talade i ett annat konferensrum och demonstrerade ett program som de skrev som skulle kunna användas av angripare när de lyckats hacka in i en mobiltelefon. Det intressanta med Cores ShellCode-programvara är att det kan köras på både Apple iPhone och Google Android, vilket visar att brottslingar kan teoretiskt skriva en kod som skulle springa på båda plattformarna.

Under de senaste månaderna har forskning om mobila enheter plockade upp och har nyligen nått en "tipppunkt", där mer framgångsrika attacker sannolikt kommer att dyka upp, sade Arce.

Det finns flera faktorer som gör telefoner attraktiva mål, sa Arce. För en sak öppnar de sig och kan köra fler och fler program från tredje part. Traditionellt har telefonföretag kontrollerat mycket de applikationer som körs på sina nätverk - AT & T argumenterade initialt att tredjeparts telefoner skulle bryta sitt nätverk. Idag är det bara $ 25 och en Gmail-adress för att utveckla applikationer för Android.

I ett annat mobiltelefonsamtal vid öppet dag visade universitetsstudenten Jon Oberheide, University of Michigan, hur Android-användare kunde luras på att installera skadliga program

Telefoner är kraftfullare, mer allmänt antagna och billigare än datorer, och de innehåller ofta viktiga data, vilket ger hackare ett ekonomiskt incitament att följa efter dem, Sade Arce.