El Pwn2Own es un concurso de seguridad patrocinado por HP y RIM en el que cada año se seleccionan unas plataformas para ser atacadas por hackers (o gente haciendo de hackers en ese momento) con la finalidad de ayudar a mejorar la seguridad de dichas plataformas.
Los organizadores definen una serie de objetivos a alcanzar y se otorgan premios económicos en relación a los objetivos conseguidos y el medio por el que se lograron, nivel de interacción del usuario, medio de ataque (NFC, SMS, WEB, ETC).
En la edición de este año se eligieron varios equipos Smartphones para la prueba, entre ellos estaban el iPhone, Samsung Galaxy III y Nokia Lumia 900.
El iPhone 4S (iOS 6) fue presa de los atacantes Joost Pol and Daan Keuper por medio de un fallo de certificado de seguridad de Safari (el navegador de Apple). Joost y Daan consiguieron acceso a la agenda, las fotos, videos y el historial de búsqueda con el simple hecho de visitar una web con código malicioso. El navegador no sufre ninguna anomalía, por lo que el ataque es imperceptible para el usuario.
Joost Pol declaro que les había llevado 3 semanas de trabajo empezando de cero y dedicando solo su tiempo libre y especifica que lo más fácil fue encontrar el “WebKit Zero-day”.
También comento que habían elegido esta plataforma porque iOS 6 que acaba de salir a la calle, también posee esta falla de seguridad y explico que están trabajando con Apple en el tema.
Para terminar, Pol quiso dejar claro que prefirieron iOS antes que Android porque era un reto mucho más difícil y un objetivo más complejo de alcanzar. Y nos regaló una perla como “El CEO de una compañía nunca debería enviar un e-mail o hacer otra cosas de valor en su blackberry o iPhone, tan simple como eso. Y que hay mucha gente haciendo fotos con sus teléfono que nunca deberían hacer”
Por su parte el Samsung Galasy III no corrió mucha mejor suerte. Fue hackeado por MWR Labs mediante NFC usando una vulnerabilidad en un visor de archivos que les permitió acceder a mensajes, correos, fotos y contactos. Incluso les dio acceso para realizar llamadas a números Premium o tomar fotos con el teléfono. Y todo eso sin la intervención del usuario del teléfono.
MWR Labs se basaron en 2 vulnerabilidades “zero-day” que pasa por alto varias características de seguridad. Según ellos, esto pasa por que la versión de Android 4.0.4 o Ice Cream Sandwich tiene implementadas de un modo “incompleto” varias tecnologías de seguridad.
Evidentemente el NFC solo se activa a muy cortas distancias, pero como ellos comentan, eso puede pasar con un simple contacto en el Metro.
Por desgracia una de los grandes atractivos de este certamen para los seguidores de Windows Phone se quedó en el aire. El Nokia Lumia 900 con Windows Phone 7 se sabe que no sucumbió por que no se pagó el premio correspondiente, pero es que no sabemos es si alguien lo intento.