Pwn2Own 2018

Apple iPhone X, Samsung Galaxy S9 y Xiaomi Mi6, han sido algunos de los smartphones para los que se han encontrado vulnerabilidades O-Day (para las que no se conoce solución) en el concurso de hacking Pwn2Own 2018 celebrado esta semana en Tokio.

Varios equipos de hackers de diferentes países o en representación de compañías de seguridad cibernéticas, revelaron hasta 18 vulnerabilidades críticas 0-Day y otras que les permitieron acceder o controlar los dispositivos. Se confirma que estos especialistas, pueden romper la seguridad de los móviles inteligentes más avanzados y actualizados a la última versión de su sistema.

Afortunadamente, este concurso organizado por el Zero Day Initiative (ZDI) de Trend Micro (como otros similares del calendario mundial) está destinado precisamente para eso, adelantarse a lo que pueda llegar del cibercrimen y reforzar la seguridad de los dispositivos porque todas las técnicas utilizadas se comunican en privado a las compañías.

iPhone X hackeado

El hackeo a un iPhone X totalmente actualizado con iOS 12.1 ha sido quizá lo más destacado y dos investigadores que formaron un equipo denominado “Fluoroacetato” fueron las estrellas del evento al conseguir 215.000 dólares en premios, la puntuación más alta de todos los participantes y el título de “Maestros de Pwn” al lograr cinco de seis demostraciones de ataque exitosos sobre los terminales propuestos.

Para romper la seguridad del iPhone X combinaron una vulnerabilidad del motor en tiempo de ejecución JIT (Javascript) en el navegador web de iOS (Safari), junto con un error de escritura para superar el sandbox y obtener privilegios para acceder a los datos del terminal o borrarlos.

Para la demostración, utilizaron una red Wi-Fi pública y recuperaron una fotografía que se había eliminado recientemente del iPhone de destino. Ganaron uno de los premios gordos de 50.000 dólares. El mismo equipo también intentó explotar la banda base en el iPhone X, pero no pudo hacer funcionar su exploit en el tiempo asignado.

Otro equipo de investigadores de MWR Labs (una división de F-Secure), también utilizó una vulnerabilidad del navegador, pero no lograron poner en funcionamiento su vulnerabilidad. En todo caso y a pesar del marketing de “infranqueable” un último modelo de iPhone totalmente actualizado, se puede hackear, como todos. 

Pwn2Own 2018

Galaxy S9 hackeado

El mismo equipo que hackeó el iPhone X también rompió la seguridad del Galaxy S9, otro de los terminales más avanzados del mercado. En este caso explotaron una vulnerabilidad de desbordamiento de memoria en el componente de banda base del terminal para ejecutar código y obtener acceso al terminal. Preocupante al afectar al baseband.

El equipo de MWR también fue premiado al descubrir otras tres vulnerabilidades diferentes en el S9, con las que consiguieron que el terminal accediera a un portal malicioso sin ninguna interacción del usuario para desde allí instalar una aplicación personalizada para controlar el terminal.

Xiaomi Mi6 hackeado

Fluoroacetato no se paró ahí y rompió por dos veces el terminal de Xiaomi. En la primera demostración lograron acceder al Mi6 a través de la tecnología de campo cercano NFC forzando a abrir una página web diseñada para insertar apps maliciosas.  También utilizaron con éxito una vulnerabilidad de desbordamiento de enteros en el motor de JavaScript del navegador web del terminal, lo que les permitió eliminar una imagen del dispositivo.

El equipo de F-Secure también logró por dos veces hackear el Mi6. La primera combinaron cinco errores diferentes para instalar silenciosamente una aplicación personalizada a través de JavaScript y omitir la lista blanca. El segundo día, combinaron un fallo en el sistema de descarga para instalar su aplicación personalizada y eliminar algunas imágenes del teléfono. Un investigador independiente también logró ejecutar código en el móvil chino mediante una vulnerabilidad de ofuscación en JavaScript.

Los detalles de todas las vulnerabilidades descubiertas y explotadas estarán disponibles en 90 días, según el protocolo del concurso pwn2Own, que, por supuesto, incluye la notificación privada a los proveedores afectados para la implementación de parches. Confirmamos, ningún dispositivo electrónico es infranqueable.

LEAVE A REPLY

Please enter your comment!
Please enter your name here