Ya hemos hablado con anterioridad sobre los concursos de hacking dónde las empresas ofrecen recompensas por romper su seguridad. Hace pocas semanas se pagaron 117.500 dólares por comprometer la seguridad de dispositivos móviles con iOS. El mayor de los tres premios fue de 50.000 dólares pagado a Pinkie Pie, un hacker de 21 años, que ya ha recogido dos grandes recompensas en los últimos 19 meses. Sus acciones anteriores explotaban vulnerabilidades en el navegador Google Chrome, en el que conseguía control total del equipo, ejecución de código arbitrario, con simplemente visitar un sitio web con código malicioso.
En el concurso Pwn2Own Mobile de 2013 que ha finalizado hace un par de semana, se descubrieron ataques contra Google Chrome en Android para conseguir ejecutar código en terminales como Nexus 4 o Samsung Galaxy S4. Lógicamente, Google Chrome implementa como los navegadores modernos, medidas de seguridad diseñadas para reducir al mínimo el impacto del daño que se puede realizar. Cuando los investigadores de seguridad identifican desbordamientos de buffer y otros tipos de errores de software, que son inevitables en las piezas complejas de software, estas medidas de mitigación consiguen que el impacto sea mínimo. Un ejemplo de medidas serían la famosa sandbox, el uso de ASLR y la prevención de ejecución de datos con DEP cobrando protagonismo.
Por otro lado, un equipo de Mitsui Bussan ganó 40.000 dólares por dos hazañas en las que se comprometieron aplicaciones que se instalan en todos los dispositivos de Samsung. Después de que el dispositivo visita un sitio web malicioso, estos chicos fueron capaces de acceder a los datos confidenciales almacenados en el dispositivo, incluyendo los contactos del usuario, marcadores, historial de navegación, imágenes o mensajes de texto.
Trabajadores de HP, que son patrocinadores del evento Pwn2Own, han reportado también vulnerabilidades a través de un informe, realizando pruebas de intrusión a unas 2.000 aplicaciones de iOS. Es un informe realmente interesante dónde queda reflejado el estado de la seguridad en el desarrollo de aplicaciones de las empresas. Además, el equipo de HP identificó alguna vulnerabilidad en terminales Samsung, reportadas en privado a la marca.
Por último, un grupo de China consiguió 27.500 dólares por dos hacks a iPhone en las que explotaban vulnerabilidades en el navegador Apple Safari. Uno de los ataques consigue capturar una cookie autenticada de un dispositivo iOS 7.0.3. El uso de la cookie de autenticación robada de forma remota, permite al usuario malicioso utilizar dicha cookie en otro dispositivo iOS y acceder a la cuenta.
Otra vulnerabilidad diferente se encuentra en el navegador Apple Safari en iOS 6.1.4 permitió a este grupo acceder a las fotos almacenadas en el dispositivo, de nuevo con solo visitar un sitio web malicioso. El exploit que desarrollaron sólo obtuvo un premio menor, ya que no conseguían saltarse la sandbox.
Otra vulnerabilidad diferente se encuentra en el navegador Apple Safari en iOS 6.1.4 permitió a este grupo acceder a las fotos almacenadas en el dispositivo, de nuevo con solo visitar un sitio web malicioso. El exploit que desarrollaron sólo obtuvo un premio menor, ya que no conseguían saltarse la sandbox.
Figura 2: Según el New York Times, un exploit de iOS puede haberse vendido por 500.000 USD |
Como podemos ver las motivaciones para los hackers son infinitas, y éstos consiguen que hacer algo dif´cil parezca fácil. Hoy en días, las vulnerabilidades en dispositivos Android e iOS son las más cotizadas, debido a su escasez y el número de dispositivos que ya existen en el mundo. Algo está claro, con la suficiente motivación y tiempo los dispositivos móviles no son invulnerables.