En los días 13 y 14 de noviembre se ha celebrado el Mobile Pwn2Own 2013 el evento destinado a revelar vulnerabilidades para los dispositivos móviles de última generación. iPhone 5, Galaxy S4, Nexus 4 y Surface RT no han salido libres de esta convocatoria.
El evento celebrado en Tokio ha concluido con diversos equipos ganadores y cuantiosos premios en efectivo. El equipo Keen Team (de China) demostró dos exploits en un iPhone 5 a traves de Safari. Aunque no se saltaron la sandbox sí consiguieron capturar las credenciales de Facebook en iOS 7.0.3 y acceder a las fotos en iOS 6.1.4. Como premio consiguieron 27.500 dólares.
El equipo japonés MBSD (de la compañía Mitsui Bussan Secure Directions), demostró exploits contra diversas aplicaciones instaladas por defecto en los Samsung Galaxy S4. La combinación de estos fallos podrían permitir la instalación de una aplicación maliciosa y el robo de datos sensibles. Como premio obtuvieron 40.000 dólares.
Para que estos exploits tengan éxito el usuario debe visitar un sitio web controlado por el atacante, sin embargo tras eso, no se requiere ninguna interacción más y el atacante podrá instalar una aplicación con privilegios de sistema en el dispositivo. En este caso los atacantes podrían tener acceso a todo el teléfono, incluyendo todo tipo de datos sensibles como los contactos del usuario, marcadores, historial de navegación, capturas de pantalla, mensajes SMS, fotos, etc.
Por otra parte, los investigadores Abdul Aziz Hariri y Matt Molinyawe del equipo ZDI de Hewlett-Packard, organizadores del concurso, demostraron un exploit para Internet Explorer 11 sobre una tableta Microsoft Surface RT con Windows 8.1.
En el segundo día de competición, el equipo Pinkie Pie conseguía explotar una vulnerabilidad en Chrome en dos dispositivos diferentes, tanto en un Nexus 4 como en un Samsung Galaxy S4. Por ello conseguía un premio de 50.000 dólares. En este caso el exploit se aprovecha de dos vulnerabilidades, un desbordamiento de entero en el navegador Chrome y otra que permitía escapar totalmente de la sandbox. Las implicaciones de estos problemas combinados resultan en la posibilidad de ejecución de código arbitrario en el dispositivo afectado. La única interacción necesaria por el usuario es la visita de un sitio web malicioso.
Todas las vulnerabilidades han sido reportadas de forma responsable y los fabricantes ya trabajan en actualizaciones para corregir estos problemas.
Más información:
Mobile Pwn2Own 2013
Keen Team exploits Safari in mobile browser category
Local Japanese team exploits mobile applications to install malware on Samsung Galaxy S4
Keen Team exploits Safari in mobile browser category
Antonio Ropero
Twitter: @aropero
Deja una respuesta