Durante este mes de noviembre ha tenido lugar el Tokio el Mobile Pwn2Own 2014, un evento promovido por Hewlett-Packard Zero Day Initiative y patrocinado por Google y BlackBerry.
El Pwn2Own 2014 es un evento con cierta historia a sus espaldas que la Hewlett-Packard Zero Day Initiative celebra anualmente. Este evento tiene como fin mejorar la seguridad de los sistemas operativos. Tradicionalmente estaba centrada en sistemas Operativos de escritorio, pero con el paso del tiempo y la evolución de nuevos dispositivos se ha diversificado.
La mecánica es sencilla, por un lado están una serie de grupos hakers de alto nivel conocidos y reconocidos mundialmente, y por otro una serie de dispositivos y sistemas operativos también conocidos y ampliamente utilizados.
Se propone el reto de atacar de diferentes formas los diferentes Sistemas Operativos y se otorgan premios de hasta 150.000€ si se logran los objetivos, que básicamente es uno, conseguir el control del sistema operativo.
Bien, este año los participantes en el evento han sido:
Amazon Fire Phone
Apple iPhone 5s
Apple iPad Mini with Retina Display
BlackBerry Z30
Google Nexus 5
Google Nexus 7
Nokia Lumia 1520
Samsung Galaxy S5
El resultado tras las pruebas ha sido que todos los terminales han sucumbido al ataque, excepto el Lumia 1520 con Windows Phone 8.1. El terminal y el sistema operativo de Microsoft han sido los únicos en aguantar los ataques de estos expertos en seguridad.
El primero en caer fue el iPhone 5s explotando un fallo del navegador Safari. Por su parte El Galaxy S5 cayó por un error lógico en NFC y LG Nexus 5 forzando el emparejamiento sobre Bluetooth.
En el caso del Lumia 1520 se consiguió acceder a la base de datos de las cookies atacando el navegador, pero el sand box del sistema resistió y no permitió más accesos. Logrando así ser el único Sistema Operativo que se salvó.
Estos eventos públicos y muy bien pagados, tienen el fin de descubrir vulnerabilidades y trasmitirlas a los fabricantes para que las solucionen, aportando así la mejora de la seguridad. Todos los participantes firmar acuerdo de confidencialidad en los que se comprometen a no revelar datos técnicos de sus logros hasta que el fabricante haya tapado esa brecha de seguridad.
De todos modos, la perfecciona no existe y menos en software, por lo que durante estos días se ha publicado la primera falla de seguridad importante de Windows Phone, y llega aprovechando una de las ultimas funcionalidades aportadas al Sistema.
Recientemente se ha añadido a Windows Phone la posibilidad de instalar actualizaciones del sistema desde una tarjeta SD. Y por medio de esta nueva funcionalidad se ha logrado acceder al sistema dejando abierta la posibilidad de que aplicaciones de terceros de fuera de la tienda oficial pudieran realizar modificaciones en el sistema.
Como vemos es algo muy nuevo, y que requiere de una combinación de acciones muy determinadas y con alginas poco inteligentes como instalar aplicaciones de tiendas desconocidas, pero es una falla y esperamos que Microsoft tome buena nota de esto y lo arregle.
Los Smartphones han alcanzado un nivel de complejidad tan elevado que muchas veces no somos conscientes de la cantidad de información que llevamos en un dispositivo que sacamos todos los días a la calle y que se puede perder con cierta facilidad. Esto hace que mucha información sensible y privada este expuesta con cierto grado de facilidad a los ojos ajenos con lo que ello puede suponer, y si no que se lo digan a ciertas famosas. Pero curiosamente cuando comparamos un teléfono móvil, no dedicamos ni un segundo a pensar en su seguridad. Esperemos que no tengamos que lamentar en el futuro una mala elección.