Se pagaron más de 100 mil dólares por exploits de iPhone X
El evento de hacking Pwn2Own 2018, llevado a cabo en Tokio, organizado por Zero Day Initiative fue un éxito, reportan especialistas en forense digital del Instituto Internacional de Seguridad Cibernética. Durante el evento, los especialistas en ciberseguridad participantes ganaron más de 300 mil dólares por revelar fallas que afectan a diversos modelos de teléfonos inteligentes de distintos fabricantes.
Durante el primer día del evento Pwn2Own Tokio 2018, los expertos en ciberseguridad y forense digital participantes hackearon los dispositivos iPhone Xde Apple, el Galaxy S9 de Samsung y el Mi 6 de Xiaomi, generando más de 225 mil dólares.
La novedad de esta edición de Pwn2Own fue la creación de una sesión de hacking específica para dispositivos de Internet de las Cosas (IoT).
El segundo día, los organizadores entregaron una recompensa de 100 mil dólares por un hack de iPhone y dos de Xiaomi.
El día comenzó con el triunfo del equipo Fluoroacetato compuesto por los expertos en seguridad informática y forense digital Amat Cama y Richard Zhu, que hackearon un iPhone X explotando una vulnerabilidad Just-In-Time (JIT) y una falla de acceso fuera de los límites. Los especialistas recibieron 50 mil dólares por haber filtrado información del dispositivo, extrayendo de manera exitosa una foto previamente eliminada del dispositivo hackeado.
En otra prueba, el equipo Fluoroacetate falló en su intento de demostrar un exploit de banda base dirigida contra el iPhone X dentro del tiempo asignado, pero los expertos explotaron con éxito un desbordamiento de enteros en el motor de JavaScript del navegador web Xiaomi para filtrar una imagen almacenada en el teléfono, ganando 25 mil dólares.
Por su parte, los investigadores Georgi Geshev, Fabi Beterke y Rob Miller, del equipo LaterMWR Labs también fallaron en su intento de hackear el iPhone X en la categoría de navegador, ya que no pudieron usar su cadena de exploits dentro del tiempo asignado para la prueba.
Más adelante, este equipo hackeó el Xiaomi Mi6 en la categoría de navegador usando un error de descarga junto con una instalación de aplicación sigilosa para cargar su aplicación personalizada y filtrar las imágenes del dispositivo, gracias a esto el equipo ganó 25 mil dólares.
Los organizadores reportaron las vulnerabilidades encontradas a los respectivos proveedores, quienes pagaron un total de 325 mil dólares por 18 vulnerabilidades día cero, de los cuales 110 mil dólares fueron pagados por reportes de vulnerabilidades en iPhone X.
Estos errores de seguridad podrían haber sido explotados por un atacante persistente o una empresa de vigilancia para comprometer un dispositivo a través del navegador o de la característica Wi-Fi. Este tipo de vulnerabilidades puede alcanzar precios mucho más altos en la comunidad del cibercrimen.
“En general, otorgamos un total de 325 mil dólares durante los dos días del evento, comprando 18 exploits de día cero. Los fabricantes y desarrolladores recibieron los reportes de estos errores y ahora tienen 90 días para publicar los parches de seguridad para solucionar estas vulnerabilidades. Una vez que se publiquen las actualizaciones, el usuario debe permanecer atento para su implementación”, se menciona en la página oficial de Pwn2Own Tokio 2018.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
