Menú principal

lunes, 18 de noviembre de 2013

Pwn2Own: Mobile Safari en iOS 7.0.3 e iOS 6.1.4 hacked

Hace poco que  hemos hablado de las actualizaciones iOS 7.0.4 y de iOS 6.1.5 y alguno puede pensar que estas arreglan los dos bugs que han sido explotados con éxito en la competición de Pwn2Own que está teniendo lugar en la PacSec de Tokio, pero no es así. Los equipos de seguridad de Google y Apple están avisados y se espera que estén resueltos en la próxima versión de iOS.

El equipo que consiguió los bugs fue el Keen Team, formado por 8 investigadores de seguridad chinos que encontraron los bugs en Mobile Safari. Con ellos fueron capaces de robar la cookie autenticada de una sesión en Facebook en iOS 7.0.4 y robar una fotografía del carrete de fotos del terminal en un iOS 6.1.4, aunque no fueron capaces de romper la sandbox, por lo que se llevaron solo el 50% del dinero de los 27.500 USD de premio.

Figura 1: Miembros del Keen Team mostrando la foto robada de iOS 6.1.4

En ambos casos los exploits fueron de tipo client-side y explotados vía la pulsación de un enlace, por lo que se necesita algo de ingeniería social para entrar en la web del atacante, o se hace necesario atacar a un sitio web que vaya a ser visitado para preparar un watering hole attack.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares