Un chercheur en sécurité perdu un certain de 15 000 $ au concours de piratage Pwn2Own cette semaine, parce qu'il avait précédemment signalé le bug à Google, qui a patché la vulnérabilité dans son marché Android.
« J'ai raté sage, argent », a déclaré Jon Oberheide, co-fondateur et directeur technique de Sécurité Duo, un développeur de logiciel d'authentification à deux facteurs. « Mais c'était bien que Google est gratifiant de chercheurs. Et maintenant, j'ai ma première vulnérabilité Android qualifiées pour un bounty. »
Google, qui verse des primes pour les bogues signalés dans son logiciel, coupe un chèque à Oberheide pour $ 1 337.
Mais Oberheide aurait pu utiliser le bogue même de marcher au large avec un prix de 15 000 $ en argent à Pwn2Own, le défi de piratage qui débute mercredi à Vancouver, en Colombie-Britannique dans le cadre de la Conférence sur la sécurité CanSecWest.
Oberheide était prévu comme le premier en ligne pour s'attaquer au téléphone Samsung Nexus S et son système d'exploitation mobile Android. Parce que Pwn2Own est un concours de gagnant-tout--le premier à pirater chacun les quatre smartphones reçoit 15 000 $--et parce que Oberheide avait un exploit de travail, il était presque garanti de l'argent.
« C'était une plaine-vanille et frustes bug XSS [cross-site scripting], aussi simple que de simples peut être, » a déclaré Oberheide dans une interview de lundi. « Mais alors que la vulnérabilité est triviale, l'impact a été assez important. »
Oberheide avait découvert un bug dans le marché Android de Google qui a permis des attaquants forcer les téléphones Android pour télécharger et installer les logiciels malveillants. Tout ce que criminels avait besoin de faire était de dupe utilisateurs en cliquant sur un lien malveillant, soit sur leur ordinateur de bureau ou le téléphone.
Selon Oberheide, l'Android Market--magasin d'app officiel de Google--contenait une vulnérabilité XSS dans le site Web de l'e-mart. Le site permet aux utilisateurs Android non seulement afficher et sélectionner les applications pour les smartphones, mais aussi leur permet d'installer de nouvelles applis directement à leurs téléphones lorsque vous naviguez le marché sur leur bureau.
« Tout en étant capable de parcourir l'Android marché via votre navigateur sur votre bureau et push apps sur votre périphérique est une grande victoire de l'expérience utilisateur, il ouvre un vecteur d'attaque dangereuse, » Oberheide a expliqué dans une entrée de blog détaillé publié lundi. « Un attaquant peut silencieusement déclencher une installation app malveillant simplement en incitant une victime en cliquant sur un lien, alors qu'il est connecté à leur compte de Google sur leur ordinateur de bureau ou sur leur téléphone. »
Une attaque aurait ajouter une application--peut-être juste un espace réservé non fonctionnel--pour exploiter le bogue. Mais c'est facile.
« Il a été démontré, par moi et d'autres, que ses pas difficile à obtenir une app sur le marché Android, avec peu de traces de preuve qu'il est malveillant, a déclaré Oberheide. « Il n'est pas très difficile. »
Bien que Oberheide était prévu pour tenter sa main à Pwn2Own pour la première fois, il a expérience trouver les failles dans Android Market. En juin dernier, il publia une paire de apps à la boutique en ligne dans le cadre de sa recherche en vulnérabilités qui permettent des attaquants push malware pour téléphones Android.
Ensuite, Google secoué les applications du marché et déclenché son "kill switch" qui désinstallées automatiquement les programmes de téléphones des utilisateurs, disant que Oberheide avait "intentionnellement dénaturé leur but afin d'encourager les téléchargements utilisateur. »
Google a jeté le commutateur kill pour la deuxième fois le week-end dernier lorsqu'il a commencé à supprimer plus de 50 applications infectés par des logiciels malveillants de téléphones Android.
Oberheide a immédiatement signalé son plus récent bug XSS à Google, un déménagement, il a maintenant cause à regretter. « Je ne pense il serait admissible pour Pwn2Own... et même si elle qualifié, c'était ce fruit de basses, qu'il ne serait pas probablement survivre jusqu'au concours », dit-il.
S'avère, aucune hypothèse était correcte.
« Je dois attendu jusqu'à ce que j'ai entendu de Pwn2Own si elle se qualifie pour le concours, » il a dit lundi. « Si j'avais attendu tout juste 24 heures avant de la signaler à Google... Si oui, j'ai tué ma propre bug Pwn2Own. »
Google patché la vulnérabilité XSS dans Android Market il y a une semaine.
Hier, Oberheide dit qu'il avait annulé provisoirement sa participation au Pwn2Own. Il a dit « À moins que je peux déterrer un nouveau XSS dans l'Android Market, je ne jouerait, ». Il n'a pas réussi jusqu'à présent dans sa quête d'une nouvelle vulnérabilité.
Pwn2Own, qui est parrainé par le programme de HP TippingPoint Zero Day Initiative (ZDI) bug bounty, s'exécute du 9 au 11 mars et offre de 125 000 $ en prix en argent aux chercheurs qui pirater des quatre plus grands navigateurs et quatre smartphones, chacun de l'exécution de ce dernier un autre système d'exploitation mobile.
Mot de la fin du Oberheide aux chercheurs qui veulent tirer une leçon de son expérience ?
Don ' t be stupid avec votre divulgations,"dit-il.
Gregg Keizer couvre Microsoft, les questions de sécurité, Apple, les navigateurs Web et la technologie générale breaking news pour Computerworld. Suivez Gregg sur Twitter à 
Twitter @ gkeizer ou abonnez-vous au flux RSS de Gregg
Keizer RSS . Son adresse e-mail est gkeizer@computerworld.com.
Pour plus d'entreprise informatique news, visitez Computerworld. Histoire du droit d'auteur © 2011 Computerworld Inc. Tous droits réservés.
View the original article here
No comments:
Post a Comment