Ya se celebró el evento anual Pwn2Own en Tokio durante los días 11 y 12 de Noviembre. El propósito de este evento para los investigadores de seguridad, desarrolladores y hackers fue el de explotar varios dispositivos a través de algún bug previamente desconocido, para luego informar al fabricante de este dispositivo respecto a dicha vulnerabilidad. Este evento es muy conocido, ytodos los años hablamos de él por aquí. Por ejemplo, el año pasado Mobile Safari en iOS 7.1.3 e iOS 6.1.4 fue hackeado. En 2012, iOS 6 fue pwneado en Amsterdam por Daan Keuper y Joost Pol.
Esta vez se disponía de una bolsa de premios por valor de 425.000 dólares para cualquier persona - en el concurso de móviles - capaz de hackear las entrañas del teléfono a través de una vulnerabilidad 0day. Muchos dispositivos fueron explotados con éxito, como por ejemplo iPhone 5S, Blackberry Z30, Google Nexus 7, Samsung Galaxy 5 o LG Nexus 5. Según parece cinco equipos explotaron vulnerabilidades que habían encontrado para controlar cinco dispositivos. Tres de las cuales se basaban en tecnología NFC, pudiendo extraer datos de los terminales. Las otras dos vulnerabilidades surgen a través del uso del navegador web integrado en el sistema operativo.
Figura 1: Pwn2Own Tokio 2014 |
iPhone 5S cayó víctima de un ataque con dos bugs en Mobile Safari que tumbaron su sandbox y les permitió llegar al core del corazón. Solo Windows Phone se salvo - en alguna medida - al no conseguir romperse la sandbox. Nico Joly fue quién consiguió explotar un Windows Phone instalado en un terminal Lumia 1520, con un exploit que se aprovechaba de un fallo en el navegador web por defecto, es decir Internet Explorer. Desde el concurso se comentó lo siguiente:
"Consiguió tomar acceso a la base de datos de cookies del navegador, sin embargo, la sandbox le bloqueó, por lo que no fue capaz de hacer con el control total del sistema.
En definitiva, una nueva edición de Pwn2Own en el que expertos de todo el mundo participan de manera sana, con el fin de ayudar a los fabricantes de dispositivos en la seguridad de éstos. De este modo, dichos terminales serán más robustos en un futuro.
No hay comentarios:
Publicar un comentario