Mobile Pwn2Own 2017: hackers exploram vulnerabilidades do Safari e de Wi-Fi num iPhone 7

No início deste ano, os participantes da competição Pwn2Own, que reúne diversos hackers “do bem”, conseguiram encontrar vulnerabilidades no Safari e no macOS. Ontem, no Mobile Pwn2Own 2017, tudo se repetiu com o iPhone 7.

O concurso anual da Trend Micro ocorreu em Tóquio, no Japão, durante a conferência de segurança PacSec. Os participantes passaram o dia tentando invadir o smartphone da Maçã, bem como o Samsung Galaxy S8, o Google Pixel e o Huawei Mate 9 Pro, a fim de conseguirem pôr as mãos em prêmios que totalizavam mais de US$500.000.

Um iPhone 7 rodando a versão pública mais recente do sistema operacional da Apple, o iOS 11.1, conseguiu ser hackeado duas vezes pelo Tencent Keen Security Lab. Da primeira vez, a equipe explorou uma brecha no Wi-Fi e conseguiu ganhar US$110.000, além de 11 pontos no “Master of Pwn”; já no segundo hack, a tentativa foi diretamente no Safari, fazendo com que o grupo conseguisse arrecadar mais US$45.000 e 13 pontos.

O Tencent Keen Security Lab conseguiu um bom tempo quando atacou o Safari no iPhone 7. Levaram apenas alguns segundos para demonstrar sucesso em sua exploração, que utilizou apenas dois bugs: um no navegador e outro em um serviço do sistema, que permite que um aplicativo persista em uma reinicialização.

O pesquisador de segurança Richard Zhu também conseguiu explorar dois bugs para ganhar acesso ao navegador Safari e conseguir executar com sucesso um código no iPhone 7, ganhando US$25.000 e 10 pontos de “Master of Pwn”.

Outros aparelhos, como o Galaxy S8 e o Mate 9 Pro, também sofreram com algumas brechas e permitiram aos participantes receber um total de US$350.000.

Este foi apenas o primeiro dia da edição 2017 da Mobile Pwn2Own — portanto, diversas outras vulnerabilidades podem ainda ser descobertas em vários sistemas.

Apesar de parecer fácil descobrir esses problemas, os sistemas são postos à prova propositalmente, a fim de que tudo seja devidamente relatado às empresas de tecnologia, que têm então até 90 dias para corrigi-los.

via MacRumors

Posts relacionados

Comentários