La
edición del Mobile Pwn2Own 2015 tan solo ha dejado un par de anuncios
interesantes, aunque la importancia de los problemas descubiertos no ha dejado
indiferente a nadie. En esta ocasión se han encontrado problemas graves en
dispositivos Samsung Galaxy S6, S6 Edge y Note 4 y en el navegador Chrome para
Android.
La última edición del
MobilePwn2Own se ha desarrollado esta semana en Tokio en la conferencia PacSec 2015.
Todo indica que la falta de patrocinadores (y por tanto de premios) de esta
edición de la competición ha provocado una gran ausencia de participantes y de
anuncios de nuevas vulnerabilidades.
A pesar de ello, se han realizado
dos anuncios bastante interesantes. En primer lugar una vulnerabilidad en los
Samsung Galaxy S6, Galaxy S6 Edge y Galaxy Note 4 que podría permitir engañar a
los dispositivos para conectarse a una estación base maliciosa y conseguir
acceso a las llamadas y mensajes que se realicen o reciban en los dispositivos.
El problema, descubierto por Daniel Komaromy (@kutyacica) y Nico Golde (@iamnion), reside
en una vulnerabilidad de hombre en el medio en los chips Shannon, que forman el
módem, transceptor RF y tracking IC, empleado en los modelos afectados. Los
investigadores configuraron una estación base, requerida para conectar un
teléfono móvil a la red telefónica y descubrieron que los teléfonos Samsung
establecían la conexión a través de ella. Esto permitió a los investigadores
interceptar llamadas y mensajes enviados y recibidos a través de la estación
base.
PWN2OWN Moblie: @kutyacica @iamnion just pwned baseband processor Samsung Edge with their SDR base station. pic.twitter.com/YE5cYAs743
— dragosr (@dragosr) noviembre 12, 2015
Este anuncio ha sido considerado
como uno de los más importantes de todas las ediciones del Pwn2Own.
Irónicamente este año no hay recompensas, cuando un descubrimiento de este tipo
el año pasado habría obtenido una recompensa de 150.000 dólares. Según Dragos
Ruiu (@dragosr), organizador de la PacSec,
este es el verdadero espíritu de la investigación en seguridad. Por ello, invitará
a ambos (y sus familias) a viajar el año que viene a la conferencia CanSecWest para que puedan esquiar después de realizar una
presentación técnica de su desarrollo.
Un segundo anuncio de la Mobile
Pwn2Own es una vulnerabilidad en el motor V8 de Javascript del navegador Chrome.
En esta ocasión, el investigador Guang Gong de Quihoo 360, logró tomar el
control de un Nexus 6 con tan solo visitar una página web con un script
malicioso. Posteriormente instaló un juego sin autorización ni interacción del
usuario.
PWN2OWN Mobile: exploit loaded application APK, pwned phone without user interaction upon visiting website pic.twitter.com/yeOkytexLu
— dragosr (@dragosr) noviembre 11, 2015
El propio investigador ha
afirmado que esta vulnerabilidad podría permitir tomar el control de cualquier
Android, ya que el fallo recae en el motor V8 del navegador, que es algo
independiente del dispositivo sobre el que se ejecute. De igual forma también
será recompensado con un viaje al congreso canadiense, además Google
recompensará de forma económica según la política de recompensas de Chrome.
Más información:
PacSec 2015 Conference
Dragos Ruiu.
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario