Internet Explorer 8, a correr sobre Windows 7, Safari em Mac OS X, o iPhone 4 e o BlackBerry Torch 9800 foram as plataformas exploradas pelos vencedores do concurso de hacking Pwn20Wn, que teve lugar na conferência de segurança CanSecWest, em Vancouver (Canadá).
Da competição deste ano, marcada pela desistência de vários candidatos aos prémios, no valor de 15 mil dólares (cerca de 10.754 euros), saíram ilesos o Android, Windows Phone 7, Firefox e Chrome - mesmo com a Google a oferecer um prémio "extra" de 20 mil dólares (cerca de 14.329 euros) a quem conseguisse quebrar a segurança do seu browser.
A segurança do navegador da Apple foi "batida" através de um drive-by download efectuado por Chaouki Bekrar, da empresa francesa de segurança informática Vupen. O BlackBerry foi atacado a partir de três vulnerabilidade no browser do telefone que permitiram executar código no dispositivo e o iPhone a partir de um código malicioso colocado numa página Web.
Mais espectacularidade teve o ataque ao Internet Explorer 8, afirmou um dos responsáveis pela organização do concurso, que o classificou como o mais impressionante da iniciativa.
O irlandês Stephen Fewer, da Harmony Security, explorou vários bugs para ultrapassar os mecanismos de protecção da memória do navegador e fazer um bypass à DEP (Data Execution Prevention) e ao ASLR (Address Space Layout Randomization) - num portátil com Windows 7.
O especialista "recorreu a três diferentes vulnerabilidades, que usou em conjunto para atacar o browser e quebrar a segurança do modo protegido, o equivalente da Microsoft à arquitectura de sandbox", explicou à CNet o responsável, que afirmou tratar-se de uma "uma técnica única".
A falha explorada já não existe na nova versão do programa, disse à ComputerWorld fonte da Microsoft, que entretanto está a trabalhar numa correcção para o IE8.
Segundo adiantou o responsável ouvido pela CNet, uma equipa de especialistas que tinha preparado um exploit para o Windows 7 viu-se obrigada a desistir devido a problemas com a viagem.
O sistema operativo da Microsoft iria também ser alvo de George Hotz (também conhecido como Geohot), mas este encontra-se ocupado com a sua defesa no processo movido pela Sony de violação de direitos de autor por ter distribuído ferramentas para fazer jailbreak à PlayStation 3.
Na lista de desistentes estava ainda um concorrente que iria tentar hackar o Safari, iPhone e Android, a quem a empresa onde trabalha pediu para não participar, e outro que julgou (erradamente) que o bug que tinha detectado no Android e reportado à Google já não podia ser explorado no concurso.
A equipa que quebrou a segurança do BlackBerry iria também tentar a sua sorte com o Chrome, mas não terá tido tempo para tudo.
Fonte: TeK
Sem comentários :
Enviar um comentário