Tarayýcýlarý ve cepleri sýradan hack'lediler!

Firefox, Internet Explorer, iPhone ve Safari'yi sýraya dizdiler, tek tek hack'lediler...

Yýllýk geleneksel Pwn2Own yarýþmasý bu yýl da baþarýyla düzenlendi ve pek çok ürün bu yarýþmada hacklendi.

Mozilla Firefox, Microsoft Internet Explorer, Apple Safari ve iPhone gibi milyonlarýn kullandýðý ürünler, yarýþmanýn bir parçasý olarak hýzla çökertildi, ele geçirildi ve yarýþmacýlara puan kazandýrdý.

Özellikle Safari, her yýl olduðu gibi bu yýl da açýklarla doluydu ve hackerlar için bu tarayýcýyý hacklemek çocuk oyuncaðý gibiydi.

Ýþin ucunda para ödülü olduðu için kullanýlan yöntemler de pek ortalýkta dolaþmayan açýklardan yararlanýyordu. En son güvenlik sistemleri bütün bu uygulamalarda baþarýyla aþýldý.

Hackerlar Apple'ýn korumalarýyla dalga geçerek bunlarýn koruma amaçlý deðil, kullanýcýlarý kýsýtlama amaçlý olduðunu söylediler.

SMS'leri bile okudular!

Aslýnda Apple'ýn koruma sistemi o kadar da kolay deðil ama hackerlar ne yaptýklarýný iyi biliyor.

Zynamics'te güvenlik araþtýrmacýsý olan Halvar Flake, iPhone'u kýrmak için iþ ortaðý Vincenzo Iozzo'nun yazdýðý açýk kodlarýndan yararlandý. Luxemburg Üniversitesi öðrencisi Ralp Phillip Weinmann'ýn çalýþmalarýndan da iPHone hackinde yararlanýldý.

Sonuçta iPhone'un uygulama çalýþtýrmak için istediði geçerli imza aþýldý. Oluþturulan siteyi iPhone'la ziyaret edenlerin SMS'lerini kopyalamak mümkün. Bütün mesajlar, baðlantýlar ve hatta slinmiþ mesajlar bile okundu!

Bu hackerlar çok ustaydý, güvenlik uzmanlarýnýn kýrýlmasý en zor, en güvenli dediði Microsoft'un DEP ve ASLR koruma sistemleri bile uzman güvenlik araþtýrmacýsý hackerlar tarafýndan aþýldý.

Toplam 100.000 dolar ödül

Vreugdenhill Research Windows 7 ve IE8 kurulu bir dizüstünü ele geçirmeyi baþardý. Bu kombinasyon beyaz þapkalý hackerlarýn kýrýlmasý en zor dedikleri kombinasyonlardan birisiydi; çünkü DEP ve ASLR, IE8'de açýk olsa bile IE8'in ele geçirilmesini engelliyor.

Adobe Flash ve 3. parti yazýlým teknikleri kullanýlmadý, hafýzanýn yeri, onu kullanan bir uygulama modülünün yeniden kullanýlmasý ve yoðun uðraþ sonucu tespit edilip ele geçirilebildi. Hacker bu açýðýn her zaman kullanýlmasýnýn mümkün olmadýðýný belirtti.

Bu esnada olayý izleyen Microsoft mühendislerinin harýl harýl not aldýklarýný ve açýklarý kapamak için çalýþmaya baþladýðýný da belirtmek gerekiyor. Ayný yöntemlerin kullanýmlasý ileride engellenecek.

Firefox da aðýr bir darbe aldý ve geçen yýlýn tarayýcý katili hacker, Firefox'un korumalarýný baþarýyla aþtý. Ýsminin açýklanmasýný istemeyen 26 yaþýndaki hacker, Ýngiltere'deki bir güvenlik danýþmanlýk þirketinde araþtýrmalarýn lideri.

Safari'nin acý sonu, ama bu kaçýncý?

Bu hack yarýþmasýnýn artýk maskotu durumuna düþen ise Safari internet tarayýcý oldu.

36 yaþýndaki Charlie Miller, bu yýl yarýþmaya her durumda tarayýcýyý ele geçirmesini saðlayan 20'ye yakýn saldýrý metoduyla geldiðini açýkladý. Mac üzerinde Safari'nin hiç þansý yok.

Üstelik bu açýklarýn hepsini ayný 5 satýrlýk Python kodunu kullanarak arayýp bulduðunu söyledi. Ertesi gün tek tek bunlarý açýklayarak Apple'ýn onarmasý için bilgi sunacaðýný belirtti. Ama esas isteði, bildirilen hatalarýn düzeltilmesi deðil, artýk Apple'dakilerin balýk tutmayý öðrenmesi ve açýk tespit mekanizmalarýný geliþtirmesi.

Sonuçta iPhone hack'i 15.000 dolarla ve tarayýcý hackleri de tanesi 10.000 dolardan ödüllendirildi.

chiponline