Dourados – MS domingo, 12 de julho de 2020
Dourados
32º max
17º min
Tecnologia

Webkit é perdedor e vencedor em competição de segurança

14 Mar 2011 - 14h40
Zero Day Initiative, do grupo de segurança
TippingPoint da HP, organiza a competição na
conferência canadense CanSecWest
 - Crédito: Foto: DivulgaçãoZero Day Initiative, do grupo de segurança TippingPoint da HP, organiza a competição na conferência canadense CanSecWest - Crédito: Foto: Divulgação
A edição 2011 da competição de segurança Pwn2Own acabou com o mesmo perdedor e vencedor: o Webkit. Usado nos bastidores pelos navegadores web para “montar” as páginas web na tela, o Webkit foi explorado no Safari, no iPhone e no BlackBerry, enquanto o Chrome, que também o utiliza, saiu ileso da competição. A Pwn2Own 2011 ocorreu na conferência de segurança CanSecWest em Vancouver, no Canadá.


As regras da Pwn2Own são simples: um hacker tenta invadir um sistema ou aplicativo. Se conseguir, ele leva um prêmio em dinheiro (US$ 15 mil, este ano) e o computador invadido (notebook ou celular). A competição ocorreu nos dias 9 e 10 de março, mas os resultados oficiais ainda não foram publicados pela Zero Day Initiative, que organiza a competição.

#####Navegadores
O primeiro dia abriu para ataques aos navegadores em PCs. O navegador Safari, da Apple, rodando no MacOS X foi o primeiro a cair. Pesquisadores da companhia francesa de segurança Vupen exploraram a brecha no Webkit e levaram os US$ 15 mil e o Macbook Air. Os pesquisadores disseram que trabalharam no código que explora a vulnerabilidade por duas semanas.

Depois foi a vez do Internet Explorer 8 rodando no Windows 7. Stephen Fewer, que é desenvolvedor da ferramenta de teste de segurança Metasploit, “engatou” três vulnerabilidades para conseguir comprometer o Internet Explorer 8. Ele precisou usar três vulnerabilidades para burlar as proteções de segurança do navegador, inclusive o Modo Protegido que tenta limitar o perigo representado pelas vulnerabilidades.

#####Celulares
No segundo dia foi a vez de ataques em celulares (Android, Windows Phone 7, iPhone e BlackBerry). A Zero Day Initiative levou à competição um isolador de radiofrequência para permitir ataques às antenas dos celulares sem comprometer o método usado para a exploração das falhas. No entanto, ele não precisou ser usado, porque as duas falhas utilizadas foram baseadas em navegadores.

O iPhone com iOS 4.2.1 foi o primeiro a cair nas mãos de Charlie Miller, um já conhecido participante da competição. Para vencer, Miller precisava apagar a lista de contatos do iPhone após uma simples visita a um site – o que ele conseguiu na segunda tentativa. A falha, embora exista no Safari da versão 4.3 do iOS, não funciona devido a novos recursos de segurança que a Apple colocou no sistema.

Vincenzo Iozzo, Willem Pinckaers e Ralf Philipp Weinmann trabalharam juntos para hackear o BlackBerry. O trio afirmou que a maior dificuldade foi a falta de documentação e ferramentas para explorar a plataforma do celular. Eles tiveram de recorrer ao método da “tentativa e erro” até conseguir que o código funcionasse. O alvo foi o navegador web do BlackBerry, que também usa o Webkit. Além de apagar a lista de contatos, os três também criaram um arquivo no celular.

A falha explorada no BlackBerry pelos pesquisadores também atinge o Chrome. No entanto, o navegador utiliza um isolamento para dificultar a exploração de falhas e não se sabe se seria possível explorá-la no navegador do Google ou não. Mesmo assim, o Google já lançou uma nova versão do Chrome com a correção e pagou um prêmio adicional de US$ 1.337 aos pesquisadores.

Ninguém tentou atacar o Chrome em si, apesar de uma oferta US$ 20 mil do Google e ter como prêmio o notebook protótipo CR-48 com o ChromeOS (o navegador estava rodando em um notebook normal com Windows 7).

Os celulares com Windows Phone 7 e Android não foram invadidos, bem como o Firefox da Mozilla. O pesquisador Jon Oberheide publicou um post em seu blog mostrando como poderia ter vencido a Pwn2Own no Android com uma falha simples na página do Android Market, confessando que seria muito melhor o prêmio de US$ 15 mil em vez dos US$ 1337 pagos pelo Google pelas informações sobre a brecha.

Deixe seu Comentário

Leia Também

Pesquisadores usam saquinhos de chá para avaliar qualidade do solo
Qualidade do Solo

Pesquisadores usam saquinhos de chá para avaliar qualidade do solo

09/07/2020 12:25
Pesquisadores usam saquinhos de chá para avaliar qualidade do solo
Relação de confiança evita que filhos caiam em desafios perigosos na internet
DESAFIO DO PATETA

Relação de confiança evita que filhos caiam em desafios perigosos na internet

26/06/2020 10:29
Relação de confiança evita que filhos caiam em desafios perigosos na internet
MS Digital: aplicativo que aproxima serviços públicos do cidadão oferece novas ferramentas
TECNOLOGIA

MS Digital: aplicativo que aproxima serviços públicos do cidadão oferece novas ferramentas

24/06/2020 09:05
MS Digital: aplicativo que aproxima serviços públicos do cidadão oferece novas ferramentas
Facebook é a maior plataforma de notícias falsas, aponta pesquisa
FAKE NEWS

Facebook é a maior plataforma de notícias falsas, aponta pesquisa

18/06/2020 10:41
Facebook é a maior plataforma de notícias falsas, aponta pesquisa
Investimento em ciência e tecnologia permite uso do gás de cozinha como fonte de energia em MS
Ciência e Tecnologia

Investimento em ciência e tecnologia permite uso do gás de cozinha como fonte de energia em MS

27/05/2020 14:30
Investimento em ciência e tecnologia permite uso do gás de cozinha como fonte de energia em MS
Últimas Notícias