Varnostna zaščita mobilnika Apple iPhone padla v dvajsetih sekundah zaradi brskalnika Safari

Na konferenci CanSecWest, ki je potekala v Vancouvru, so za največje hekerje sveta priredili izjemno prestižno tekmovanje vdiranja v programsko opremo PWN 2 OWN. Tekmovalci so se prvi dan”borili” proti zaščitnim mehanizmom štirih konkurenčnih spletnih brskalnikov (Microsoft Internet Explorer 8, Mozilla Firefox, Googlu Chrome in Apple Safari) ter Applovega mobilnega telefona iPhone.

Med vsemi hekerji sta se najbolje odrezala specialista informacijske varnosti Vincenzo Lozzo in Ralf Philipp Weinmann, saj sta uspela preko spletnega brskalnika Safari v pičlih dvajsetih sekundah razbiti varnostni sistem Applovega sila priljubljenega mobilnega telefona iPhone. Strokovnjaka sta varnostne mehanizme mobilnika pravzaprav prelisičila s pomočjo škodljive programske kode, ki je bila vgrajena v spletno stran, le-ta pa je izkoristila ranljivost spletnega brskalnika Safari. Po uspešno izvedenem napadu sta specialista informacijske varnosti lahko v celoti upravljala z mobilnikom ter razpošiljala celotno podatkovno bazo kratkih sporočil SMS (tudi izbrisanih) na oddaljene strežnike.

Preko ranljivosti v spletnem brskalniku Safari je hekerjem uspelo prelisičiti tudi varnostne mehanizme Applovega operacijskega sistema MacOSX. Napad na računalniški sistem MacBook Pro je z odliko opravil računalniški mojster Charlie Miller.

Nič kaj boljše se nista odrezala konkurenčna spletna brskalnika Mozilla Firefox in Microsoft Internet Explorer 8. Z brskalnikom IE8, ki je bil prednameščen na operacijskem sistemu Windows 7, je brez večjih težav opravil računalničar Peter Vreugdenhil. Heker je s pridom izkoristil ranljivost brskalnika tudi za obhod varnostnih sistemov ASLR (Address Space Layout Randomization) in DEP (Data Execution Prevention), ki so temelj zaščite Oken 7. Njegov večni tekmec Mozilla Firefox (različica 3.0) pa je padel pod spretnimi rokami nemškega računalniškega mojstra Nils.

Spretnim hekerjem je bil prvi dan kos le Googlov spletni brskalnik Chrome 4, saj temelji na osnovi tehnologije Sandbox, ki je primarno namenjena predvsem prepoznavanju in odpravljanju tudi novih, še neznanih zlonamernih kod. Tehnologija skrbi tudi za to, da se ustvari navidezno okolje in v kolikor se škodljiva programska koda razkrije, le-ta ne ogrozili integritete brskalnika oziroma operacijskega sistema. Googlov spletni brskalnik Chrome 4 naj bi bil imun na napade tudi zaradi tega, ker je bil pripravljen povsem na novo in upošteva vse ključne varnostne standarde.