Hackers
consiguen comprometer la seguridad de dispositivos móviles durante la
prestigiosa competición Pwn2Own, celebrada en Tokio.
Pwn2Own es
uno de los concursos de hacking ético más populares, se lleva celebrando desde
el año 2007 durante la conferencia de seguridad PacSec; está organizada por
Trend Micro’s Zero Day Initiative (ZDI) y se reparten cuantiosos premios en
metálico a los concursantes que consigan explotar nuevas vulnerabilidades en
dispositivos y software (actualizado) de uso general.
La
competición se divide en cinco categorías: Navegadores, Distancia corta,
Mensajería, Baseband e IoT:
Equipos de
hackers de diversas las nacionalidades o representando a compañías de
ciberseguridad fueron capaces de encontrar hasta 18 vulnerabilidades de día
cero (0-days) en dispositivos móviles de Apple, Samsung y Xiaomi. Junto con los
correspondientes exploits que permitían tomar el control total del dispositivo.
Apple iPhone X con iOS 12.1
El equipo
compuesto por los investigadores Richard Zhu y Amat Cama (Fluoroacetate Team)
descubrieron y explotaron una combinación de dos vulnerabilidades en iOS; La primera
de ellas es un fallo just-in-time (JIT) en el navegador iOS de Safari junto con
una escritura “out-of-bounds” (escritura fuera de un cierto límite) en el
sandbox de Safari que les permitió descargar una imagen del dispositivo. Con
este trabajo, Fluoroacetate ganó 50.000$.
Samsung Galaxy S9
De nuevo,
el equipo Fluoroacetate consiguió explotar un heap overflow en el baseband del
terminal que permitía la ejecución de código arbitrario en el terminal. Con
este bug, el Team Fluoroacetate logró embolsarse otros 50.000$
El Team MWR
descubrió también otras tres vulnerabilidades diferentes para este mismo
dispositivo, que forzaban al terminal a visitar un portal captativo sin
interacción del usuario. Después, usaron una redirección insegura junto con un fallo
en la carga de aplicaciones para instalar una app maliciosa. Esta hazaña les
supuso una recompensa de 30.000$.
Xiaomi Mi6
Fluorocetate
continuó al día siguiente con este terminal y encontraron un integer overflow
en el motor javascript del navegador web de Xiaomi Mi6 que les permitió copiar
una imagen de prueba del dispositivo y con ello volver a ganar otros 25.000$.
Este equipo logró encontrar otra vulnerabilidad más a través de NFC usando la
capacidad touch-to-connect (tocar para conectar) del dispositivo, forzando al
terminal a que abra el navegador web y visite un sitio web especialmente
preparado para comprometer completamente el terminal móvil, con esta última
vulnerabilidad ganaron 30.000$.
El Team MWR
Labs logró combinar cinco bugs diferentes para instalar silenciosamente una app
vía JavaScript y bypaseando la lista blanca de aplicaciones para lanzar
automáticamente una aplicación maliciosa. Para lograrlo, MWR forzó al navegador
por defecto del dispositivo a que visite un sitio web malicioso una vez que el
terminal se conecta a un punto de acceso wireless malicioso. Con esta
vulnerabilidad, el Team MWR consiguió 30.000$.
En el
segundo día, el Team MWR combinó un fallo en las descargas del dispositivo
junto con un bug que permitía la instalación silenciosa de cualquier app, para
exfiltrar una fotografía de prueba en este dispositivo.
Más información:
PWN2OWN TOKYO 2018
- https://www.zerodayinitiative.com/blog/2018/11/13/pwn2own-tokyo-2018-day-one-results
- https://www.zerodayinitiative.com/blog/2018/11/14/pwn2own-tokyo-2018-day-two-results-and-master-of-pwn
Fuente:
Hispasec