Menú principal

lunes, 18 de noviembre de 2013

Pwn2Own: Mobile Safari en iOS 7.0.3 e iOS 6.1.4 hacked

Hace poco que  hemos hablado de las actualizaciones iOS 7.0.4 y de iOS 6.1.5 y alguno puede pensar que estas arreglan los dos bugs que han sido explotados con éxito en la competición de Pwn2Own que está teniendo lugar en la PacSec de Tokio, pero no es así. Los equipos de seguridad de Google y Apple están avisados y se espera que estén resueltos en la próxima versión de iOS.

El equipo que consiguió los bugs fue el Keen Team, formado por 8 investigadores de seguridad chinos que encontraron los bugs en Mobile Safari. Con ellos fueron capaces de robar la cookie autenticada de una sesión en Facebook en iOS 7.0.4 y robar una fotografía del carrete de fotos del terminal en un iOS 6.1.4, aunque no fueron capaces de romper la sandbox, por lo que se llevaron solo el 50% del dinero de los 27.500 USD de premio.

Figura 1: Miembros del Keen Team mostrando la foto robada de iOS 6.1.4

En ambos casos los exploits fueron de tipo client-side y explotados vía la pulsación de un enlace, por lo que se necesita algo de ingeniería social para entrar en la web del atacante, o se hace necesario atacar a un sitio web que vaya a ser visitado para preparar un watering hole attack.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Vente al "Security Innovation Day 2016: Let Security Be"

El Security Innovation Day es el evento desde el que Telefónica y ElevenPaths comparten los últimos lanzamientos y novedades en innovació...

Otras historias relacionadas

Entradas populares