Windows Phone motsto angrep

Sandkassa til Windows Phone overlevde angrep under en hackerkonkurranse.

Publisert Sist oppdatert

Ingen av de mobile enhetene som ble angrepet kom fra det helt uten skrammer, men Windows Phone på en Nokia Lumia 1520 klarte seg bedre enn de aller fleste andre enhetene som var under lupen.

Det var under sikkerhetskonferansen PacSec Applied Security Conference 2014 i Tokyo i forrige uke at konkurransen «Mobile Pwn2Own» ble avholdt. Dette er en konkurranse der sikkerhetsforskere gjennomførte angrep mot en rekke mobile enheter og operativsystemer, der de utnytter tidligere ukjente svakheter i produktene. Dette var tredje året konkurransen ble arrangert.

425.000 dollar i premier

Til sammen hadde arrangøren av konkurransen, HP Security Research, og sponsorene Google Android og Blackberry, satt opp 425000 dollar i premiepenger for totalt fem forskjellige konkurranseklasser.

For at et angrep skulle godkjennes som vellykket, at enheten var fullstendig «pwned», måtte to kriterier oppfylles: Angrepet måtte kjøre kode på enheten, utenfor sandkassen der det var relevant, og angrepet måtte lykkes med å hente ut sensitiv informasjon fra enheten. Angrepet kunne ikke utnytte brukerinteraksjon ut over det som er nødvendig for å surfe til den skadelige koden.

Arrangørene stilte med en rekke mobile enheter som angriperne kunne prøve seg på: Amazon Fire Phone, Apple iPhone 5S, Apple iPad Mini med Retina Display, BlackBerry Z30, Google Nexus 5, Google Nexus 7, Nokia Lumia 1520 og Samsung Galaxy S5.

«Pwned»

Selve konkurransen gikk over to dager mens konferansen pågikk, og etter første dag kunne sikkerhetsforskerne notere seg for en rekke vellykte angrep. I tur og orden ut over dagen godkjente arrangøren til sammen fire angrep som fullstendig «pwned»:

Først ble Apple iPhone 5S tatt, ved hjelp av et angrep mot nettleseren, og muligens Wi-Fi-koblingen. Deretter ble Samsung Galaxy S5 med Android først tatt via et angrep mot operativsystemet, deretter ved et annet angrep mot Wi-Fi (på kort avstand). Så var det LG Nexus 5 med Android sin tur, den ble overtatt ved å angripe NFC på kort avstand, før Amazon Fire Phone ble tatt med et angrep mot operativsystemet.

«Delvis pwned»

Dag to ble noe bedre for leverandørene av de mobile enhetene. Først ut var Windows Phone på en Nokia Lumia 1520, og her ble dommen «delvis pwned». Angrepet ble utført mot nettleseren i enheten, og angriperen klarte å hente ut databasen med informasjonskapsler («cookies»). Han klarte imidlertid ikke å kjøre kode utenfor nettleserens sandkasse, så full kontroll over enheten ble ikke oppnådd. Her klarte Windows Phone seg altså bedre enn for eksempel Google Android og Apple iOS.

Dagens andre angrepsforsøk var mot en Nexus 5 som angrepet via Wi-Fi, men angriperen klarte ikke å heve systemprivilegiene sine høyere enn det som var utgangspunktet. Dette forsøket ble også dømt som «delvis pwned».