Закрутившись с делами я как-то совсем упустил из виду, что на этой неделе прошло ежегодное состязание Pwn2Own, в ходе которого хакеры взламывали популярные программные продукты и получали за это ценные призы: компьютерные «железяки» и денежные награды. Давайте посмотрим, что там было интересного.

Не знаю, готовилась ли Apple целенаправленно к данному конкурсу или защита Safari сама по себе существенно улучшилась за последнее время, но в этом году стандартный браузер OS X показал себя «крепким орешком», продержавшись весь первый и половину второго дня соревнований. Для сравнения, несколько лет назад настольный Safari сдался уже через 5 секунд после посещения вредоносного сайта.

На этот раз браузер взломала китайская команда исследователей безопасности под названием Keen Team, использовавшая две уязвимости: при помощи первой они успешно обрушили движок рендеринга WebKit, а благодаря второй обошли «песочницу» Safari и выполнили от имени привилегированного пользователя специальный код, после чего на зараженном компьютере запустился калькулятор, а на жестком диске создался файл. Это стандартный набор действий для хакеров, позволяющих удостовериться в успешности взлома системы в подобных соревнованиях.

По словам Лианга Чена (Liang Chen), который вместе со своим напарником представлял команду Keen Team на Pwn2Own, при устранении уязвимости в WebKit у Apple проблем возникнуть не должно, но в случае с механизмом сэндбоксинга придётся попотеть:

Я думаю, что исправить WebKit будет относительно легко. В то же самое время вторая уязвимость является общесистемной и связана с тем, как компания разрабатывала приложение; устранить её будет намного сложнее.

Говоря о найденных уязвимостях, исследователи похвалили OS X, назвав её более безопасной по сравнению с конкурирующими ОС:

Операционная система Apple является очень защищенной и обладает очень хорошей архитектурой безопасности. Даже если вы нашли в ней уязвимость, её будет невероятно трудно использовать. Сегодня мы продемонстрировали, что при помощи некоторых передовых технологий систему по-прежнему можно взломать. Но в целом, с точки зрения безопасности, OS X лучше других операционных систем.

За взлом Safari команда хакеров получила 40 000$, а еще половина от 75 000$ досталась им за помощь с открытии уязвимости нулевого дня в технологии Adobe Flash. Keen Team уже пообещали передать часть этих денег в благотворительную организацию, помогающую семьям пассажиров пропавшего самолета «Малазийских авиалиний».

Представители Apple присутствовали на мероприятии и были поставлены в известность о найденных дырах в системе безопасности. Информацию о взломе других программных продуктов можно найти на сайте Pwn2Own.


Читайте также: