HP – Pwn2Own Mobile : concorso per trovare falle di sicurezza negli smartphone

Il concorso Pwn2Own Mobile indetto da HP (Hewlett-Packard) si è concluso Mercoledì 12 Novembre.

Pwn2Own

Si tratta di un contest annuale indetto da HP il cui scopo è individuare una o più vulnerabilità sui tre sistemi operativi mobili più popolari iOS, Android e Windows Phone installati su altrettanti smartphone di punta, tra cui iPhone 5s, Samsung Galaxy S5, Nexus 5, Amazon Fire Phone e Nokia Lumia 1520. Il montepremi totale è stato di 425.000 dollari suddiviso in cinque categorie.

Al Pwn2Own Mobile si sono riuniti i maggiori esperti di computer di tutto il mondo, provenienti da 5 paesi tra cui Giappone, Corea del Sud, Gran Bretagna e Sud Africa, hanno cercato di trovare falle di sicurezza e rubare informazioni, tramite exploit su WiFi, Bluetooth, NFC, browser e servizi di messaggistica. I concorrenti avevano solo 30 minuti per hackerare i telefoni che avevano scelto.

Cinque squadre, cinque dispositivi e cinque tentativi riusciti questo è il risultato, un totale di nove bug sono stati scoperti e immediatamente comunicati all’azienda interessata dal bug dando modo agli ingegneri, presenti presso la sede del Contest indetto da HP, di trovare una patch per mettere al sicuro la vulnerabilità trovata.

Il gruppo della Corea del Sud è stato in grado di trovare ben due bug su iOS, i quali hanno compromesso l’iPhone 5s attraverso exploit sul browser web Safari. Uno dei bug è stato in grado di eseguire uno script nella sandbox di Safari, dando la possibilità agli hacker di avere il pieno controllo del sistema operativo. Ovviamente come detto la falla di sicurezza è stata subito comunicata ad Apple.

Anche il Team del Giappone ha trovato un bug, ma questa volta il dispositivo interessato è stato un Samsung Galaxy S5 con installato il sistema operativo del robottino verde, la vulnerabilità è dovuta al modulo NFC. I giapponesi hanno usato una tattica di deserializzazione, ovvero una programmazione di un codice a partire dalla sua rappresentazione binaria ottenuta da un file o da un canale di rete. Anche il Team del Sud Africa ha trovato una vulnerabilità sul Samsung Galaxy S5 usando, anch’essi, un exploit basato sul modulo NFC.

Il Regno Unito non è stato a guardare e ha intensificato le sue ricerche e ha trovato due bug che interessano il Nexus 5 di Google, anche per questo exploit il modulo NFC è il protagonista. Il bug di sicurezza ha dimostrato la possibilità di accoppiare due smartphone tramite il Bluetooth, il che rappresenta una grosso problema di privacy e di sicurezza, specialmente se uno degli utenti è un malintenzionato.

Neanche Amazon Fire Phone, con sistema operativo Fire OS basato su Android 4.2.2 Jelly Bean, è immune, ben tre bug, il punto debole a quanto pare sarebbe il browser, scoperto anche questo dal Team del Sud Africa.

Gli hacker a questo punto hanno spostato la loro attenzione sul Nokia Lumia 1520 con sistema operativo Windows 8.1, l’attacco ha interessato il browser web, ma ha avuto un successo parziale infatti ha permesso di estrarre il database dei cookie da Internet Explorer, ma la sandbox ha impedito l’accesso.

Pwn2Own Mobile di HP è un evento ricorrente, la prossima edizione sarà in primavera al CanSecWest di Vancouver, Columbia Britannica.

Comments

Loading…