A HP promoveu esta semana o evento “Mobile Pwn2Own” durante a conferência de segurança PacSec, em Tóquio, no Japão. Na competição, especialistas foram convidados a explorar vulnerabilidades em smartphones para ganhar prêmios de até US$ 150 mil (R$ 375 mil). Ataques bem-sucedidos foram realizados contra todos os smartphones mais populares do mercado.
Na Pwn2Own, os dispositivos estão totalmente atualizados e o participante é obrigado a utilizar uma brecha até então desconhecida para obter acesso ao sistema. As informações sobre as falhas ficam restritas à HP, que promove o evento, e são compartilhadas com os desenvolvedores dos sistemas para que sejam corrigidas.
O maior prêmio oferecido nesta edição do evento era para falhas no rádio dos celulares, responsável pela comunicação com a rede de celular. Nenhuma brecha desse tipo foi explorada pelos participantes.
O iPhone 5S foi atacado por meio de uma falha no navegador Safari, recompensada por um prêmio de US$ 50 mil (R$ 125 mil) para uma equipe sul-coreana. O Fire Phone, da Amazon, sofreu um ataque do mesmo tipo de um trio de pesquisadores da MWR, uma equipe da África do Sul.
Os celulares com Android, um Galaxy S5 e um LG Nexus 5, foram comprometidos com brechas no sistema de Near-field Communication (NFC), usado para comunicações sem fio com dispositivos próximos ao celular. O Galaxy S5 foi atacado com duas falhas diferentes por meio de brechas em componentes da própria Samsung. Essas falhas foram exploradas por uma equipe japonesa, a MBSD, e pelo pesquisador Jon Butler, também da MWR. Já o LG Nexus 5 foi atacado por Adam Laurie, da empresa britânica Aperture Labs. Eles receberam um prêmio de US$ 75 mil (cerca de R$ 185 mil).
O Windows Phone também foi atacado, mas o sucesso foi parcial. O participante Nico Joly, um dos vencedores de outra edição do evento realizada em maio, conseguiu ler os cookies registrados pelo navegador para outros sites, algo que não deveria ser permitido. No entanto, não foi possível comprometer o navegador e obter acesso ao sistema.
Como o Windows Phone foi o único que não conseguiram obter acesso ao sistema, isso mostra o porque de não existir algum “jailbreak completo” em aparelhos com esse OS móvel, por exemplo.
Via: g1.globo.com