Mobile Pwn2Own 2013, evento celebrado en Tokio el 13 y 14 de este mes, ha revelado vulnerabilidades en los dispositivos móviles, iPhone 5, Galaxy S4, Nexus 4 y Surface RT.
Vulnerabilidades en el iPhone 5
- El equipo Keen Team (de China) demostró dos exploits en un iPhone 5 a traves de Safari. Sin saltarse la sandbox, consiguieron capturar las credenciales de Facebook en iOS 7.0.3 y acceder a las fotos en iOS 6.1.4.
Vulnerabilidades en el Galaxy S4.
- El equipo japonés MBSD (de la compañía Mitsui Bussan Secure Directions), demostró exploits contra diversas aplicaciones instaladas por defecto en los Samsung Galaxy S4. La combinación de estos fallos podrían permitir la instalación de una aplicación maliciosa y el robo de datos sensibles.
- Para que estos exploits tengan éxito el usuario debe visitar un sitio web controlado por el atacante, sin embargo tras eso, no se requiere ninguna interacción más y el atacante podrá instalar una aplicación con privilegios de sistema en el dispositivo.
- En este caso los atacantes podrían tener acceso a todo el teléfono, incluyendo todo tipo de datos sensibles como los contactos del usuario, marcadores, historial de navegación, capturas de pantalla, mensajes SMS, fotos, etc.
Vulnerabilidades en el Surface RT
Por otra parte, los investigadores Abdul Aziz Hariri y Matt Molinyawe del equipo ZDI de Hewlett-Packard, organizadores del concurso, demostraron un exploit para Internet Explorer 11 sobre una tableta Microsoft Surface RT con Windows 8.1.
Vulnerabilidades en Nexus 4 y Galaxy S4.
- El equipo Pinkie Pie conseguía explotar una vulnerabilidad en Chrome en los dispositivos Nexus 4 y Samsung Galaxy S4.
- En este caso el exploit se aprovecha de dos vulnerabilidades, un desbordamiento de entero en el navegador Chrome y otra que permitía escapar totalmente de la sandbox.
- Las implicaciones de estos problemas combinados resultan en la posibilidad de ejecución de código arbitrario en el dispositivo afectado. La única interacción necesaria por el usuario es la visita de un sitio web malicioso.
Conclusiones finales del Evento
- Todas las vulnerabilidades fueron reportadas de forma responsable y los fabricantes ya trabajan en actualizaciones para corregir estos problemas.
Más información:
Una al día(15/11/13) http://unaaldia.hispasec.com/2013/11/el-mobile-pwn2own-2013-revela.html
Fuente: Hispasec
