Dourados – MS sábado, 28 de novembro de 2020
Dourados
36º max
23º min
Imaculada-Desk
Imaculada-Mobile
Tecnologia

Webkit é perdedor e vencedor em competição de segurança

14 Mar 2011 - 14h40
Zero Day Initiative, do grupo de segurança
TippingPoint da HP, organiza a competição na
conferência canadense CanSecWest
 - Crédito: Foto: DivulgaçãoZero Day Initiative, do grupo de segurança TippingPoint da HP, organiza a competição na conferência canadense CanSecWest - Crédito: Foto: Divulgação
A edição 2011 da competição de segurança Pwn2Own acabou com o mesmo perdedor e vencedor: o Webkit. Usado nos bastidores pelos navegadores web para “montar” as páginas web na tela, o Webkit foi explorado no Safari, no iPhone e no BlackBerry, enquanto o Chrome, que também o utiliza, saiu ileso da competição. A Pwn2Own 2011 ocorreu na conferência de segurança CanSecWest em Vancouver, no Canadá.


As regras da Pwn2Own são simples: um hacker tenta invadir um sistema ou aplicativo. Se conseguir, ele leva um prêmio em dinheiro (US$ 15 mil, este ano) e o computador invadido (notebook ou celular). A competição ocorreu nos dias 9 e 10 de março, mas os resultados oficiais ainda não foram publicados pela Zero Day Initiative, que organiza a competição.

#####Navegadores
O primeiro dia abriu para ataques aos navegadores em PCs. O navegador Safari, da Apple, rodando no MacOS X foi o primeiro a cair. Pesquisadores da companhia francesa de segurança Vupen exploraram a brecha no Webkit e levaram os US$ 15 mil e o Macbook Air. Os pesquisadores disseram que trabalharam no código que explora a vulnerabilidade por duas semanas.

Depois foi a vez do Internet Explorer 8 rodando no Windows 7. Stephen Fewer, que é desenvolvedor da ferramenta de teste de segurança Metasploit, “engatou” três vulnerabilidades para conseguir comprometer o Internet Explorer 8. Ele precisou usar três vulnerabilidades para burlar as proteções de segurança do navegador, inclusive o Modo Protegido que tenta limitar o perigo representado pelas vulnerabilidades.

#####Celulares
No segundo dia foi a vez de ataques em celulares (Android, Windows Phone 7, iPhone e BlackBerry). A Zero Day Initiative levou à competição um isolador de radiofrequência para permitir ataques às antenas dos celulares sem comprometer o método usado para a exploração das falhas. No entanto, ele não precisou ser usado, porque as duas falhas utilizadas foram baseadas em navegadores.

O iPhone com iOS 4.2.1 foi o primeiro a cair nas mãos de Charlie Miller, um já conhecido participante da competição. Para vencer, Miller precisava apagar a lista de contatos do iPhone após uma simples visita a um site – o que ele conseguiu na segunda tentativa. A falha, embora exista no Safari da versão 4.3 do iOS, não funciona devido a novos recursos de segurança que a Apple colocou no sistema.

Vincenzo Iozzo, Willem Pinckaers e Ralf Philipp Weinmann trabalharam juntos para hackear o BlackBerry. O trio afirmou que a maior dificuldade foi a falta de documentação e ferramentas para explorar a plataforma do celular. Eles tiveram de recorrer ao método da “tentativa e erro” até conseguir que o código funcionasse. O alvo foi o navegador web do BlackBerry, que também usa o Webkit. Além de apagar a lista de contatos, os três também criaram um arquivo no celular.

A falha explorada no BlackBerry pelos pesquisadores também atinge o Chrome. No entanto, o navegador utiliza um isolamento para dificultar a exploração de falhas e não se sabe se seria possível explorá-la no navegador do Google ou não. Mesmo assim, o Google já lançou uma nova versão do Chrome com a correção e pagou um prêmio adicional de US$ 1.337 aos pesquisadores.

Ninguém tentou atacar o Chrome em si, apesar de uma oferta US$ 20 mil do Google e ter como prêmio o notebook protótipo CR-48 com o ChromeOS (o navegador estava rodando em um notebook normal com Windows 7).

Os celulares com Windows Phone 7 e Android não foram invadidos, bem como o Firefox da Mozilla. O pesquisador Jon Oberheide publicou um post em seu blog mostrando como poderia ter vencido a Pwn2Own no Android com uma falha simples na página do Android Market, confessando que seria muito melhor o prêmio de US$ 15 mil em vez dos US$ 1337 pagos pelo Google pelas informações sobre a brecha.

Deixe seu Comentário

Leia Também

Nova atualização do MS Digital traz ferramenta voltada ao empresário sul-mato-grossense
MS Digital

Nova atualização do MS Digital traz ferramenta voltada ao empresário sul-mato-grossense

25/11/2020 10:45
Nova atualização do MS Digital traz ferramenta voltada ao empresário sul-mato-grossense
Detran-MS simplifica serviços e mais de sete mil clientes já utilizaram o Detran Pag
Tecnologia

Detran-MS simplifica serviços e mais de sete mil clientes já utilizaram o Detran Pag

11/11/2020 12:40
Detran-MS simplifica serviços e mais de sete mil clientes já utilizaram o Detran Pag
Digitalização e cyber segurança das empresas aceleraram com a pandemia
Tecnologia

Digitalização e cyber segurança das empresas aceleraram com a pandemia

11/11/2020 11:29
Digitalização e cyber segurança das empresas aceleraram com a pandemia
MS Digital disponibiliza novas ferramentas para o Servidor
Tecnologia

MS Digital disponibiliza novas ferramentas para o Servidor

28/10/2020 15:37
MS Digital disponibiliza novas ferramentas para o Servidor
Mídia Ciência relata a história da extração de diamantes em Rochedo
Ciência & Tecnologia

Mídia Ciência relata a história da extração de diamantes em Rochedo

24/10/2020 11:02
Mídia Ciência relata a história da extração de diamantes em Rochedo
Últimas Notícias