Mobilios programinės įrangos laužytojų konkursas Pwn2Own - triokšt pokšt, keberiokšt
2013 Mobile Pwn2Own konkursas vykęs Tokijuje PacSec konferencijos metu baigėsi ir dabar galima apžvelgti kai kuriuos programišių - saugumo ekspertų triūso jame rezultatus.
Pwn2Own konkursai yra įdomūs tuo, kad niekada nežinai kas juose gali nutikti ir šis konkursas nebuvo išimtis.
Pirmą kartą šio konkurso istorijoje laimėjo komanda iš Kinijos. Kiniečiai pademonstravo dvi skirtingas Safari saugumo spragas. Mobilių naršyklių kategorijoje, pirmoji spraga Keen komandai leido naudojant iPhone 5 su iOS 7.0.3 pasisavinti Facebook vartotojo duomenis ir uždirbti 27 500 JAV dolerių, antroji iOS 6.1.4 leido pavogti vartotojo įrenginyje esančias nuotraukas bei slapukų informaciją.
Antroji MBSD (Mitsui Bussan Secure Directions, Inc) komanda iš Japonijos, naudodama Samsung Galaxy S4 pademonstravo saugumo spragas egzistuojančias visoje eilėje aplikacijų. Jie susilaukė gausių plojimų kai nepastebimai įdiegė piktybinį kodą į įrenginį ir pradėjo jame esančių konfidencialių duomenų (vartotojo adresų knygutės, išsaugotų nuorodų, naršymo istorijos, ekrano vaizdų, SMS žinučių ir t.t.) persiuntimą. Saugumo spragos, leidžiančios įdiegti Android OS aplikacijose piktybinį kodą, kuris veiks sistemos teisėmis pademonstravimas komandai uždirbo 40 000 JAV dolerių. Saugumo skylių detalės yra pateiktos Samsung atstovams ir dabar Pietų Korėjos kompanija darbuojasi ties jų užlopymu.
Antrą dieną, po to kai buvo įsitikinta, kad įrenginiai į kuriuos bus taikomasi yra tinkamai sukonfigūruoti, per kelias minutes, Pinkie Pie nulaužė Google Chrome naršyklę Nexus 4 ir Samsung Galaxy S4 - iš karto dviejuose skirtinguose įrenginiuose, kad atrodytų įtikinamiau ir už tai gavo 50 000 JAV dolerių prizą.
Konkurso metu HP ZDI komandos saugumo ekspertai PacSec konferencijos nariams pademonstravo savo atrastas saugumo spragas. Abdul ir Matt, naudodami Microsoft Surface Pro, parodė „zero-day“ spragos leidžiančios apeiti ASLR ir DEP efektyvumą Internet Explorer 11 ir Windows 8.1. Abdul ir Matt naudodamiesi naršykle paleido calc.exe ir pademonstravo ką gali padaryti su informacija esančia kompiuteryje (kol Microsoft taiso šias saugumo spragas daugiau detalių apie ši sistemos pažeidžiamumą atskleisti nėra leistina). ZDI komanda taip pat buvo paruošusi ir automatinių klaidinančių „hello world“ SMS demonstraciją GSM ir SDR.
Susumuojant konferencijos rezultatus galima daryti išvadą, kad duomenys saugomi mobiliuose įrenginiuose nėra tokie saugūs kaip gali atrodyti ar norėtųsi. Nors konferencijos metu pademonstruotos saugumo spragos nėra vaikų žaidimai, tačiau tai labai aiškiai parodė, kad mobiliuose įrenginiuose saugomi konfidencialūs duomenys gali būti tiek pat pažeidžiami kaip ir saugomi bet kurioje kitoje vietoje.
Konferencijos metu profesionalūs „saugumo ekspertai“ iš Azijos pademonstravo savo sugebėjimus ir tai leidžia manyti, kad yra didelė panašių saugumo spragų, kurios nebuvo atskleistos konferencijoje, egzistavimo tikimybė ir tokios spragos tikrai egzistuoja.
Konferencijos metu saugumo spragas pademonstravusios komandos išsivežė laimėtus 117 500 JAV dolerių.