El iPhone y el Samsung Galaxy S4 hackeados en el concurso Pwn2Own 2013

El iPhone y el Samsung Galaxy S4 hackeados en el concurso Pwn2Own 2013

Claudio Valero

En Tokio se está celebrando el popular concurso de hacking llamado Pwn2Own. En esta edición, los competidores se han enfrentado a un iPhone con sistema operativo iOS y un Samsung Galaxy S4 con sistema operativo Android. En ambos casos han conseguido hackearlos y no les ha llevado más de 5 minutos.

Brian Gorenc, Director de Zero Day Iniciative de HP Security Research, remarcó que la finalidad del concurso es avanzar sobre la investigación de vulnerabilidades y alejarla del mercado negro, para que no pueda ser aprovechada para “hacer el mal”. Los ganadores de este concurso que tengan éxito explotando alguna de las vulnerabilidades, pueden ganar miles de euros. La primera jornada del concurso ha sido bastante interesante.

El primer equipo en competir fue Keen Team de Keen Cloud Tech, procedentes de China. Este equipo fue capaz de romper la seguridad de un iPhone con iOS 6.1.4 y 7.0.3. En la versión de iOS 6, fueron capaces de robar una cookie del navegador haciendo que el usuario visitara una página web. Con ella, fueron capaces de recuperar las credenciales de Facebook para poder utilizarlas en otro equipo diferente.

En iOS 7, fueron capaces de romper la seguridad a través de un fallo encontrado en el sistema. Gracias a ello, fueron capaces de robar las imágenes almacenadas en el teléfono cuando el usuario visitaba una página web. Como no fueron capaces de “saltarse” el sandbox, su recompensa quedó establecida en 27.500 dólares.

Más tarde, el segundo equipo MBSD, de Mitsui Bussan Secure Directions de Japón, se enfrentó a un Samsung Galaxy S4. Lograron explotar una cadena de vulnerabilidades y lograron que al visitar una página web, el terminal quedara infectado de malware sin dejar rastro. Fueron capaces de comprometer el sistema, varias de sus aplicaciones y robar datos de mensajes, contactos y mucho más. Al tratarse de un error peligroso, obtuvieron una recompensa de 40.000 dólares.

Las vulnerabilidades detectadas ya han sido comunicadas a Apple, Google y Samsung para que les pongan solución lo antes posible. En la segunda jornada del concurso se espera que se localicen nuevas vulnerabilidades.