Hackerkonkurransen Pwn2Own har til nå blitt arrangert i forbindelse med den kanadiske sikkerhetskonferansen CanSecWest. Men i forrige uke, under konferansen EuSecWest i Amsterdam, ble det arrangert en lignende konkurranse om knekking av smartmobiler – Mobile Pwn2Own.
I alle fall to mobiler ble knekket, nemlig to av de mest kjente og mestselgende mobilene på markedet – Apples iPhone 4S og Samsungs Galaxy S III.
I Pwn2Own-konkurransen er det et krav om at knekkingen må gjøres fra bunnen av, ved hjelp av til nå ukjente sårbarheter. Det kreves også at mobilene er utstyrt med den aller nyeste programvaren som er offisielt tilgjengelig for disse.
Sårbarheten som ble funnet og utnyttet i iPhone 4S, finnes i WebKit-komponenten til nettleseren Safari av en gruppe fra det nederlandske selskapet Certified Secure.
Administrerende direktør i selskapet, Joost Pol, sier i et intervju med ZDNet at det tok gruppen omtrent tre uker på fritiden å finne sårbarheten og å koble sammen flere teknikker som til sammen kunne brukes til å skape en stabilt fungerende angrepskode.
– Den enkle delen av var å finne sårbarheten, forteller Pol. Den gjorde gruppen i stand til å omgå Apples krav om kodesignering og sandkassen i Safari. Angrepskoden ga Certified Secure-gruppen tilgang adresseboken, foto- og videodatabasen, samt nettleserhistorikken, men ikke SMS- og epost-databasene, siden disse er krypterte.
Til tross for at Apple med iOS 6 fjerner nesten 200 sårbarheter fra operativsystemet, skal sårbarheten som Certified Secure-gruppen benyttet, fortsatt være tilstede. Gruppen har testet at angrepskoden også fungerer på iPad, iPhone 4 og alle tidligere utgaver av iPod touch.
Ifølge Pol er iPhone den mest avanserte mobilen på markedet når det gjelder sikkerhet, noe som er årsaken til at gruppen valgte nettopp denne. Han forteller at BlackBerry mangler mye av den sikkerhetsfunksjonaliteten som iOS har. Han mener at også Android er langt sikrere enn BlackBerry.
Certified Secure mottok en premie på 30 000 dollar for seieren. Til gjengjelder er det bare arrangøren, HP TippingPoint Zero Day Initiative (ZDI), som får detaljene om sårbarheten og angrepskoden.
Pol advarer om at slike angrep ikke er så teoretiske som man kanskje kan få inntrykk av.
– Du vet, folk tror at disse tingene er så vanskelige å gjøre, at det bare er teori og at det bare er Charlie Miller og Willem Pinckaers som er i stand til å gjøre det. Det er mange folk – – gode og onde – som kan gjøre dette. Det er viktig at folk, spesielt næringslivet, forstår at mobile enheter aldri bør brukes til viktig arbeid, sier Pol, som spesifikt advarer toppledere mot å drive med e-post eller noe annet av verdi på en iPhone eller en BlackBerry.
Android
Men som nevnt var det ikke bare iPhone 4S og iOS som ble knekket under Mobile Pwn2Own i forrige uke. Heller ikke Samsungs toppmodell, Galaxy S III, greide å stå imot angrepsforsøkene.
En gruppe sikkerhetsforskere fra britiske MWR Labs, inkludert hackeren som bare er kjent som «Nils», skriver i sin egen blogg at de demonstrerte en til da ukjent sårbarhet i Galaxy S III med Android 4.0.4.
– Gjennom NFC (Near Field Communication, red. anm.) var det mulig å laste opp en ondsinnet fil på enheten. Denne lot oss oppnå kodekjøring på enheten og deretter få full kontroll over enheten ved hjelp av annen sårbar som åpnet for eskalering av privilegier. Denne samme sårbarheten kunne også utnyttes gjennom andre angrepsvektorer som ondsinnede websider eller epostvedlegg, skriver MWR Labs. Den andre sårbarheten ble også brukt til å omgå applikasjonssandkassen.
Deretter installerte gruppen et verktøy som blant annet kan innhente brukerdata på enheten og sende disse til en ekstern mottaker.
I blogginnlegget fortelles det at Android stort sett har den samme funksjonaliteten mot angrep som Linux-distribusjoner for skrivebordet, inkludert Address Space Layout Randomisation (ASLR) og Data Execution Prevention (DEP). Men det er svakheter ved disse som gjorde det mulig å utnytte den sekundære sårbarheter.
– Av stor betydning er det at ASRL-implementeringen ikke er komplett i Android 4.0.4, og den deler ikke Android-linkeren Bionic og /system/bin/app_process, som er ansvarlig for å starte applikasjoner på enheten, samtidig som andre botemiddel som kunne ha gjort det vanskeligere å utnytte sårbarheten, viste seg ikke å være tilstede, heter det i bloggen.
Det er kjent at ASRL-implementeringen i Android 4.1 er betydelig mer omfattende. Men denne utgaven av Android blir først tilgjengelig for Galaxy S III i oktober. Mange andre Android-mobiler vil aldri få Android 4.1. Det er ukjent om sårbarheten vil bli fjernet fra andre versjoner av Android, og ikke minst om de enkelte mobilleverandørene og mobiloperatørene vil tilby disse versjonene til sine kunder.
Les også:
- [13.11.2014] Smartmobiler knekt i tur og orden
- [15.11.2013] Knekket nettlesere og mobilapper
- [07.03.2013] Java knekket tre ganger på en dag
- [24.07.2012] Nå skal mobilene knekkes
- [18.07.2012] – Android har blitt vanskeligere å knekke
- [19.03.2009] Mac med Safari hacket på ti sekunder
