Sono eventi che ormai quasi non fanno più notizia ma alcuni ricercatori sono riusciti a individuare falle e compromettere il funzionamento di un Surface Pro di Microsoft, un Nexus 4 e un Samsung Galaxy S4 sfruttando vulnerabilità non note prima di Internet Explorer 11 su Windows 8.1 e Google Chrome su Android.
I ricercatori esperti in sicurezza Abdul Aziz Hariri e Matt Molinyaw del team Zero Day Initiative (ZDI) di Hewlett-Packard hanno mostrato a scopo educativo (non faceva parte della competizione) la vulnerabilità di un Surface Pro con Windows 8.1 nel corso dell’hacking contest Mobile Pwn2Own avvenuto nel contesto della PacSec Applied Security Conference di Tokyo.
La vulnerabilità di Explorer ha permesso di ottenere il controllo completo della macchina ed è stata ora comunicata a Microsoft. Un ricercatore con lo pseudonimo di Pinkie Pie ha compromesso un Nexus 4 e un Samsung Galaxy S4 sfruttando vulnerabilità di Chrome, un procedimento complesso poiché questo è eseguito all’interno di una sandbox (un meccanismo che separa i processi del browser dal sistema operativo). Pinkie Pie aveva già nel 2012 individuato due vulnerabilità in Chrome, nel corso dell’evento Pwnium di Google. Per la nuova vulnerabilità tecnicamente è stato sfruttato il verificarsi di un overflow nelle operazioni sugli interi e una falla nella sandbox, un meccanismo che ha gli ha permesso di vincere 50.000$ in palio. Pinkie Pie si è assicurato la vittoria mostrando la vulnerabilità su un Nexus 4 ma a scopo dimostrativo ha dimostrato la fattibilità anche su un Galaxy S4 di Samsung.
Gli attacchi potenziali sono preparati creando pagine web ad hoc, inviando link specifici via mail, con SMS o attirando la potenziale vittima con collegamenti all’interno di siti web. Quando l’utente clicca sul link malevolo da Chrome, l’attacco è portato a termine senza bisogno che l’utente in qualche modo interagisca, permettendo l’esecuzione arbitraria di codice all’interno del sistema operativo. Ache questa nuova vulnerabilità è stata segnalata a Google.
Un team di ricercatori della giapponese Mitsui Bussan Secure Directions ha hackerato un Galaxy S4 modificando non meglio precisate applicazioni pre-installate nel dispositivo dal produttore. Ricercatori cinesi hanno attaccato due iPhone 5 con iOS 7.0.3 e iOS 6.1.4, sfruttando vulnerabilità di Safari. Il team giapponese ha vinto 40.000$ poiché il loro attacco ha permesso di controllare completamente il dispositivo; il team cinese ha portato a casa una cifra inferiore: 27.500$ poiché l’attacco non ha consentito di controllare a pieno il dispositivo ma ha ad ogni modo permesso di recuperare dati, cookie del browser, foto e contatti.
