15 nov 2018

iPhone X, S9 y Mi6 hackeados en Pwn2Own 2018

En la competencia de hacking móvil Pwn2Own 2018 celebrada en Tokio del 13 al 14 de noviembre, los hackers demostraron una vez más que incluso los teléfonos inteligentes totalmente parcheados, que ejecutan la última versión del software de los fabricantes, pueden ser hackeados.

Tres de los principales teléfonos inteligentes emblemáticos, iPhone X, Samsung Galaxy S9 y Xiaomi Mi6, se encontraban entre los dispositivos que fueron hackeados con éxito en el concurso anual hacking móvil organizado por Zero Day Initiative (ZDI) de Trend Micro, lo que le dio a los hackers un total de U$S325.000. recompensa.
Pwn2Own Mobile Hacking Competition
Equipos de piratas informáticos participaron de diferentes países o representaron a diferentes compañías de seguridad cibernética que revelaron un total de 18 vulnerabilidades de día cero en dispositivos móviles creadas por Apple, Samsung y Xiaomi, así como también vulnerabilidades diseñadas que les permitieron controlar completamente los dispositivos específicos.

Apple iPhone X con iOS 12.1 - ¡HACKED!

Un equipo de dos investigadores, Richard Zhu y Amat Cama, que se llamaron a sí mismos Fluoroacetate, descubrieron y lograron explotar un par de vulnerabilidades en un iPhone X de Apple completamente parcheado a través de Wi-Fi.

El dúo combinó una vulnerabilidad just-in-time (JIT) en el navegador web de iOS (Safari) junto con un error de escritura out-of-bounds que les permitió escapar la sandbox, escalar previlegios y eliminar datos del iPhone con iOS 12.1.

Para su demostración, la pareja optó por recuperar una foto que se había eliminado recientemente del iPhone, lo que sin duda fue una sorpresa para la persona de la imagen. La investigación les ganó U$S50.000.

El equipo de Fluoroacetate también intentó explotar la banda base en el iPhone X, pero no pudo hacer funcionar su exploit en el tiempo asignado.

Otro equipo de investigadores de MWR Labs (una división de F-Secure), con sede en el Reino Unido, que incluía a Georgi Geshev, Fabi Beterke y Rob Miller, también apuntó al iPhone X en la categoría de navegador, pero no logró poner en funcionamiento su vulnerabilidad en el tiempo asignado. De todos modos ZDI dijo que adquirirá esas vulnerabilidades a través de su programa general de bugs.

Samsung Galaxy S9 - ¡HACKED!

Además del iPhone X, el equipo de Fluoroacetate también atacó el Samsung Galaxy S9 explotando una vulnerabilidad de desbordamiento de memoria en el componente de banda base del teléfono y obteniendo una ejecución del código. El equipo ganó otros U$S 50.000 en premios en efectivo por este logro.

"Los ataques de banda base son especialmente preocupantes, ya que alguien puede elegir no unirse a una red Wi-Fi, pero no tienen tal control al conectarse a la banda base", escribió Zero Day Initiative en una publicación de blog.

El equipo de MWR descubrió otras tres vulnerabilidades, que las combinaron para explotar con éxito el Samsung Galaxy S9 a través de Wi-Fi al obligar al dispositivo a un portal cautivo sin ninguna interacción del usuario.

Luego, el equipo usó una redirección insegura y una carga de aplicación insegura para instalar su aplicación personalizada en el dispositivo Samsung Galaxy S9 de destino. MWR Labs fue recompensado con U$S 30.000 por su logro.

Xiaomi Mi6 - ¡HACKED!

Fluoroacetate no se detuvo. El equipo también logró explotar con éxito el teléfono Xiaomi Mi6 a través de NFC. "Al usar la función touch-to-connect, forzaron al teléfono a abrir el navegador web y navegar a una página web especialmente diseñada. Durante la demostración, ni siquiera nos dimos cuenta de que la acción estaba ocurriendo hasta que fue demasiado tarde. En otras palabras, un usuario no tendría oportunidad de evitar que esta acción ocurra en el mundo real".
Por esta vulnerabilidad el equipo ganó otros U$S30.000 en premios.

En el día 2 de la competencia, este equipo de también utilizó con éxito una vulnerabilidad de desbordamiento de entero en el motor de JavaScript del navegador web del teléfono inteligente Xiaomi Mi6 que les permitió eliminar una imagen del dispositivo. Ganaron otros U$S 25.000.

MWR Labs también probó el teléfono Xiaomi Mi6 y combinó cinco errores diferentes para instalar silenciosamente una aplicación personalizada a través de JavaScript, omitir la lista blanca de la aplicación e iniciarla automáticamente.

Para lograr su objetivo, los hackers obligaron al navegador web predeterminado del teléfono Xiaomi Mi6 a navegar a un sitio web malicioso, cuando el teléfono se conectaba a un servidor de Wi-Fi controlado por ellos. La combinación de las vulnerabilidades le otorgó otros U$S 30.000.

El día 2, el equipo de MWR combinó una falla en las descargas junto con una instalación de aplicación silenciosa para cargar una aplicación personalizada y eliminar algunas imágenes del teléfono. Esto les valió otros U$S 25.000.

Por su parte, un investigador independiente, Michael Contreras, logró explotar una vulnerabilidad de confusión de tipo JavaScript para obtener la ejecución de código en el teléfono Xiaomi Mi6. Se ganó U$S 25.000.

Fuente: THN

Suscríbete a nuestro Boletín

2 comentarios:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!