Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/11/2014
El Mobile Pwn2Own 2014 revela vulnerabilitats en iPhone 5S, Galaxy S5, LG Nexus 5, Amazon Fire Phone i Windows Phone
En els dies 11 i 12 de novembre s’ha celebrat el Mobile Pwn2Own 2014 l’esdeveniment destinat a revelar vulnerabilitats per als dispositius mòbils d’última generació. En esta ocasió han sigut els iPhone 5S, Galaxy S5, LG Nexus 5, Amazon Fire Phone i Windows Phone els dispositius en què s’han trobat vulnerabilitats.
Organitzat per HP Zero Day Initiative i el patrocini de l’equip de seguretat de Google Android i Blackberry, l’esdeveniment celebrat a Tòquio ha conclòs amb diversos equips guanyadors i quantiosos premis en efectiu (hi havia una bossa de fins a 425.000$ per a recompenses). Enguany s’han trobat vulnerabilitats en tots els sistemes operatius mòbils: iOS, Android i Windows Phone. Encara que cal assenyalar que Windows Phone va ser l’única plataforma en què no es va arribar a prendre el control del dispositiu.
En el primer dia, cinc equips, cinc objectius i cinc intents reeixits. Durant estos intents, nou noves vulnerabilitats explotades. El primer atac el va mostrar l’equip lokihardt@ASRT (de Corea del Sud), que amb una combinació de dos vulnerabilitats va aconseguir el compromís d’un Apple iPhone 5S a través del navegador Safari.
El segon participant del dia, l’equip MBSD que va aconseguir el compromís del Samsung Galaxy S5 a través de NFC com a vector per a provocar un error de deserialització en un cert codi específic de Samsung. Després d’això, Jon Butler de l’equip sud-africà MWR InfoSecurity, també va aconseguir el compromís dels Samsung Galaxy S5 a través del NFC, en esta ocasió per mitjà d’un error lògic.
Adam Laurie de Aperture Labs del Regne Unit també va emprar un atac al NFC en esta ocasió contra un LG Nexus 5 (dispositiu suportat per Google). Per mitjà d’una combinació de dos exploits va demostrar una forma de forçar l’emparellament Bluetooth entre telèfons. Per a finalitzar el primer dia, l’equip MWR InfoSecurity format per tres investigadors va emprar una mescla reeixida de tres vulnerabilitats contra el navegador web de l’Amazon Fire Phone.
El segon dia, es va iniciar amb Nico Joly, va ser l’únic competidor d’enguany que va intentar un atac contra Windows Phone (un Lumia 1520) amb un exploit dirigit al navegador. I encara que va aconseguir extraure la base de dades de cookies, la sandbox va aguantar l’atac i no va ser capaç de fer-se amb el control total del dispositiu.
Finalment, Jüri Aedla, veterà de Pwn2Own que va conseguir un atac reeixit contra Firefox en el Pws2Own de Vancouver celebrat a la primavera. En esta ocasió, va presentar un atac utilitzant la WI-FI del seu sistema objectiu(un Nexus 5 amb Android). No obstant això, no va ser capaç d’elevar els seus privilegis més enllà del seu nivell original.
Tal com marquen les regles del Pwn2Own, totes les vulnerabilitats han sigut reportades de forma responsable i els fabricants ja treballen en actualitzacions per a corregir estos problemes.
Més informació:
Mobile Pwn2Own begins: Competitors and targets
http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Mobile-Pwn2Own-begins-Competitors-and-targets/ba-p/6669308
Mobile Pwn2Own 2014: The day one recap
http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Mobile-Pwn2Own-2014-The-day-one-recap/ba-p/6669592
Mobile Pwn2Own 2014: The day two recap
http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Mobile-Pwn2Own-2014-The-day-two-recap/ba-p/6670234
una-al-dia (16/03/2014) Els principals navegadors cauen en el Pwn2Own 2014
http://unaaldia.hispasec.com/2014/03/los-principales-navegadores-caen-en-el.html