Investigadores presentes en la competencia de hacking de plataformas móviles Mobile Pwn2Own dieron a conocer esta semana varias vulnerabilidades que permitirían el robo de información y, en algunos casos, la instalación de malware en el dispositivo atacado. Las fallas de seguridad fueron atacadas con exploits zero-day, y serán corregidas de forma inmediata, otorgando premios monetarios a los investigadores.
Cuando los desarrolladores encuentran vulnerabilidades en sus aplicaciones, lanzan parches o actualizaciones de seguridad que corrigen los problemas identificados. Dado que estas actualizaciones están disponibles para toda la comunidad, los cibercriminales pueden generar exploits para atacar esas vulnerabilidades, afectando a todos los usuarios que no hayan aplicado la actualización. Sin embargo, existen casos en los que los cibercriminales encuentran vulnerabilidades desconocidas hasta el momento, generando exploits que afectan a la totalidad de los usuarios. Es en este caso que se habla de ataques zero-day, dado que los desarrolladores no están enterados de la situación, y han tenido cero días para responder con una actualización. Es de imaginarse que este tipo de ataque sea el más peligroso, ya que el desconocimiento podría durar horas, semanas o quizás meses. Bajo esta premisa se realiza el evento Mobile Pwn2Own, en el cual los investigadores son recompensados por encontrar este tipo de vulnerabilidades.
Así, un equipo de investigadores japoneses se hizo acreedor de 40 mil dólares, gracias al descubrimiento de vulnerabilidades en varias aplicaciones que vienen instaladas por defecto en el smartphone Samsung Galaxy S4. Los ataques zero-day utilizados requieren que el usuario visite un sitio malicioso en su smartphone, por ejemplo a través de un link propagado mediante alguna campaña, pero a partir de este punto no se requiere ningún otro tipo de interacción para llevar a cabo las acciones maliciosas. Por ello, una vez que se ha vulnerado la seguridad, es posible que el atacante instale otras aplicaciones, realice un control remoto del teléfono o acceda a la lista de contactos, imágenes, historial de búsqueda o mensajes, entre otras cosas.
Adicionalmente, Keen Team, cuyos integrantes provienen de China, logró explotar 2 vulnerabilidades de iPhone, llevándose 27500 dólares de recompensa. La primera vulnerabilidad fue explotada bajo iOS 7.0.3 a través del navegador Safari, y permitiría a un potencial atacante robar una cookie de Facebook, logrando comprometer la cuenta de Facebook asociada. La segunda vulnerabilidad (iOS 6.1.4) también afecta a Safari y se debe a una mala implementación del modelo de permisos. Mediante el exploit asociado, los investigadores lograron acceder a las fotos almacenadas en el dispositivo. En ambos casos es necesario que el usuario visite un link malicioso para poder llevar a cabo estos ataques, pero resulta notable el hecho de que ambas vulnerabilidades fueron explotadas en menos de 5 minutos.
Por último, un hacker bajo el pseudónimo de Pinkie Pie logró comprometer Google Chrome en dos modelos de smartphone: Nexus 4 y Samsung Galaxy S4. Los exploits utilizados permitieron a Pinkie Pie ejecutar código fuera del sandbox, pudiendo lograr el control remoto del dispositivo. También mediante la utilización de técnicas de ingeniería social, el atacante debería lograr que el usuario acceda a un enlace malicioso para que el ataque sea válido.
En todos los casos, tanto Google, como Samsung y Apple ya fueron notificados acerca de estas vulnerabilidades. Sin embargo, en cada uno de los exploits presentados en la competencia observamos que la interacción del usuario es fundamental para el éxito de los ataques. Luego, desde ESET Latinoamérica queremos resaltar la importancia de mantener el sistema operativo y las aplicaciones actualizadas, y de ser cautelosos ante los enlaces de dudosa precedencia, no sólo en las computadoras, sino también en los dispositivos móviles.
Matías Porolli
Especialista de Awareness & Research