Vulnerabilidades Graves y 0-Days encontrados en iPhone X, Samsung Galaxy S9, Xiaomi Mi6.

En la competencia de piratería móvil Pwn2Own 2018 celebrada en Tokio del 13 al 14 de noviembre, los piratas informáticos demostraron una vez más que incluso los teléfonos inteligentes totalmente parcheados que ejecutan la última versión del software de los fabricantes de teléfonos inteligentes populares pueden ser pirateados.

Tres de los principales teléfonos inteligentes emblemáticos, iPhone X, Samsung Galaxy S9 y Xiaomi Mi6, se encontraban entre los dispositivos que fueron pirateados con éxito en el concurso anual de piratería móvil organizado por Zero Day Initiative (ZDI) de Trend Micro, que le dio a los hackers un total de $ 325,000. recompensa.

Equipos de piratas informáticos participaron de diferentes países o representaron a diferentes compañías de seguridad cibernética que revelaron un total de 18 vulnerabilidades de día cero en dispositivos móviles creadas por Apple, Samsung y Xiaomi, así como también vulnerabilidades diseñadas que les permitieron controlar completamente los dispositivos específicos.

Apple iPhone X con iOS 12.1 – ¡SE HA HACKEADO!

Un equipo de dos investigadores, Richard Zhu y Amat Cama, que se llamaron a sí mismos Fluoroacetate, descubrieron y lograron explotar un par de vulnerabilidades en un iPhone X de Apple completamente parchado a través de Wi-Fi. El dúo combinó una vulnerabilidad justo a tiempo (JIT) en el navegador web de iOS (Safari) junto con un error de escritura fuera de los límites para el escape de la caja de arena y la escalada para eliminar datos del iPhone con iOS 12.1. Para su demostración, la pareja optó por recuperar una foto que se había eliminado recientemente del iPhone de destino, lo que sin duda fue una sorpresa para la persona de la imagen. La investigación les ganó $ 50,000 en premios.

Richard Zhu y Amat Cama (Equipo Fluoroacetato)

El equipo de fluoroacetato también intentó explotar la banda base en el iPhone X, pero no pudo hacer funcionar su exploit en el tiempo asignado.

Otro equipo de investigadores de MWR Labs (una división de F-Secure), con sede en el Reino Unido, que incluía a Georgi Geshev, Fabi Beterke y Rob Miller, también apuntó al iPhone X en la categoría de navegador, pero no logró poner en funcionamiento su vulnerabilidad en el tiempo. asignado

ZDI dijo que adquirirá esas vulnerabilidades a través de su programa general ZDI.

Samsung Galaxy S9 – También ha sido hackeado!

Además del iPhone X, el equipo de Fluoroacetate también atacó el Samsung Galaxy S9 explotando una vulnerabilidad de desbordamiento de memoria en el componente de banda base del teléfono y obteniendo la ejecución del código. El equipo ganó $ 50,000 en premios en efectivo por la emisión.

«Los ataques de banda base son especialmente preocupantes, ya que alguien puede elegir no unirse a una red Wi-Fi, pero no tienen tal control al conectarse a la banda base», escribió Zero Day Initiative en una publicación de blog (Día 1).

El equipo de MWR descubrió otras tres vulnerabilidades diferentes, que las combinaron para explotar con éxito el Samsung Galaxy S9 a través de Wi-Fi al obligar al dispositivo a un portal cautivo sin ninguna interacción del usuario.

Luego, el equipo usó una redirección insegura y una carga de aplicación insegura para instalar su aplicación personalizada en el dispositivo Samsung Galaxy S9 de destino. MWR Labs fue recompensado con $ 30,000 por su hazaña.

Xiaomi Mi6 – Sí, este también ha sido hackeado!

Fluoroacetato no se detuvo allí. El equipo también logró explotar con éxito el teléfono Xiaomi Mi6 a través de NFC (comunicaciones de campo cercano).

«Al usar la función de toque para conectar, forzaron al teléfono a abrir el navegador web y navegar a su página web especialmente diseñada», dijo ZDI.

«Durante la demostración, ni siquiera nos dimos cuenta de que la acción estaba ocurriendo hasta que fue demasiado tarde. En otras palabras, un usuario no tendría oportunidad de evitar que esta acción ocurra en el mundo real».

La vulnerabilidad le hizo ganar al equipo de Fluoroacetatoe $ 30,000 en premios.

En el día 2 de la competencia, el equipo de Fluoroacetate también utilizó con éxito una vulnerabilidad de desbordamiento de entero en el motor de JavaScript del navegador web del teléfono inteligente Xiaomi Mi6 que les permitió eliminar una imagen del dispositivo.

El error les ganó otros $ 25,000.

Georgi Geshev, Fabi Beterke y Rob Miller (MWR Labs)

MWR Labs también probó el teléfono inteligente Xiaomi Mi6 y combinó cinco errores diferentes para instalar silenciosamente una aplicación personalizada a través de JavaScript, omitir la lista blanca de la aplicación e iniciar la aplicación automáticamente.

Para lograr su objetivo, los hackers de White Hat obligaron al navegador web predeterminado del teléfono Xiaomi Mi6 a navegar a un sitio web malicioso, cuando el teléfono se conectaba a un servidor de Wi-Fi controlado por ellos.

La combinación de vulnerabilidades le ganó al equipo de MWR $ 30,000.

El día 2, el equipo de MWR combinó una falla de descarga junto con una instalación de aplicación silenciosa para cargar su aplicación personalizada y eliminar algunas imágenes del teléfono. Esto les valió otros $ 25,000.

Un investigador independiente, Michael Contreras, logró explotar una vulnerabilidad de confusión de tipo JavaScript para obtener la ejecución de código en el teléfono Xiaomi Mi6. Se ganó $ 25,000.

Fluoroacetato ganó el título de ‘Maestro de Pwn’ este año

Con los 45 puntos más altos y un premio total de $ 215,000, los investigadores de Fluoroacetate Cama y Zhu obtuvieron el título de «Maestro de Pwn», logrando cinco de seis demostraciones exitosas de ataques contra iPhone X, Galaxy S9 y Xiaomi Mi6.

Los detalles de todas las vulnerabilidades de día cero descubiertas y explotadas en la competencia estarán disponibles en 90 días, según el protocolo del concurso pwn2Own, que incluye notificar a los proveedores y las implementaciones de parches OEM.