Vulnerabilidades de día cero fueron encontradas en IphoneX, Galaxy S9, y Xaomi Mi6.

En la competencia de hacking móvil Pwn2Own 2018 celebrada en Tokio del 13 al 14 de noviembre, los hackers demostraron una vez más que incluso los teléfonos inteligentes totalmente parcheados que ejecutan la última versión del software de los fabricantes de teléfonos inteligentes populares pueden ser hackeados.

Tres de los principales teléfonos inteligentes emblemáticos, iPhone X, Samsung Galaxy S9 y Xiaomi Mi6, se encontraban entre los dispositivos que fueron hackeados con éxito en el concurso anual de hacking móvil organizado por Zero Day Initiative (ZDI) de Trend Micro, que le dio a los hackers un total de $ 325,000. recompensa.

Equipos de hackers participaron de diferentes países o representaron a diferentes compañías de seguridad cibernética que revelaron un total de 18 vulnerabilidades de día cero en dispositivos móviles creadas por Apple, Samsung y Xiaomi, así como vulnerabilidades diseñadas que les permitieron controlar completamente los dispositivos seleccionados.

Apple iPhone X Corriendo iOS 12.1


Un equipo de dos investigadores, Richard Zhu y Amat Cama, que se llamaron a sí mismos Fluoroacetate, descubrieron y lograron explotar un par de vulnerabilidades en un iPhone X de Apple completamente parchado a través de Wi-Fi.

El dúo combinó una vulnerabilidad just-in-time (JIT) en el navegador web de iOS (Safari) junto con un error de escritura fuera de los límites de memoria (Overflow) para el salir del SandBox y poder eliminar archivos del Iphone

Para su demostración, la pareja optó por recuperar una foto que se había eliminado recientemente del iPhone de destino, lo que sin duda fue una sorpresa para la persona de la imagen. La investigación les ganó $ 50,000 en premios.


El equipo de fluoroacetato también intentó explotar la banda base en el iPhone X, pero no pudo hacer funcionar su exploit en el tiempo asignado.

Otro equipo de investigadores de MWR Labs (una división de F-Secure), con sede en el Reino Unido, que incluía a Georgi Geshev, Fabi Beterke y Rob Miller, también apuntó al iPhone X en la categoría de navegador, pero no logró poner en funcionamiento su vulnerabilidad en el tiempo. asignado

ZDI dijo que adquirirá esas vulnerabilidades a través de su programa general ZDI.

El equipo de MWR descubrió otras tres vulnerabilidades diferentes, que las combinaron para explotar con éxito el Samsung Galaxy S9 a través de Wi-Fi al obligar al dispositivo a un portal cautivo sin ninguna interacción del usuario.

Luego, el equipo usó una redirección insegura y una carga de aplicación insegura para instalar su aplicación personalizada en el dispositivo Samsung Galaxy S9 de destino. MWR Labs fue recompensado con $ 30,000 por su hazaña.

Xiaomi Mi6 — Si también fue vulnerado!


El fluoroacetato no se detuvo allí. El equipo también logró explotar con éxito el teléfono Xiaomi Mi6 a través de NFC (comunicaciones de campo cercano).

La vulnerabilidad le ganó al equipo de Fluoroacetate $ 30,000 en premios.
En el día 2 de la competencia, el equipo de Fluoroacetate también utilizó con éxito una vulnerabilidad de desbordamiento de entero en el motor de JavaScript del navegador web del teléfono inteligente Xiaomi Mi6 que les permitió eliminar una imagen del dispositivo. El error les ganó otros $ 25,000.

MWR Labs también probó el teléfono inteligente Xiaomi Mi6 y combinó cinco errores diferentes para instalar silenciosamente una aplicación personalizada a través de JavaScript, omitir la lista blanca de la aplicación e iniciar la aplicación automáticamente.



Para lograr su objetivo, los hackers de White Hat obligaron al navegador web predeterminado del teléfono Xiaomi Mi6 a navegar a un sitio web malicioso, cuando el teléfono estaba conectado a un servidor de Wi-Fi controlado por ellos.

La combinación de vulnerabilidades le ganó al equipo de MWR $ 30,000.
El día 2, el equipo de MWR combinó una falla de descarga junto con una instalación de aplicación silenciosa para cargar su aplicación personalizada y eliminar algunas imágenes del teléfono. Esto les valió otros $ 25,000.

Un investigador independiente, Michael Contreras, logró explotar una vulnerabilidad de confusión de tipo JavaScript para obtener la ejecución de código en el teléfono Xiaomi Mi6. Se ganó $ 25,000.

Fluoroacetate ganó el título de 'Master of Pwn' este año.


Con los 45 puntos más altos y un premio total de $ 215,000, los investigadores de Fluoroacetate Cama y Zhu obtuvieron el título de "Master of Pwn", logrando cinco de seis demostraciones exitosas de ataques contra iPhone X, Galaxy S9 y Xiaomi Mi6.

Los detalles de todas las vulnerabilidades de día cero descubiertas y explotadas en la competencia estarán disponibles en 90 días, según el protocolo del concurso pwn2Own, que incluye notificar a los proveedores y las implementaciones de parches OEM.

Las vulnerabilidades permanecerán abiertas hasta que los proveedores afectados emitan parches de seguridad para solucionarlos.

Fuente: https://thehackernews.com/2018/11/mobile-hacking-exploits.html