Em uma competição de hacking móvel Pwn2Own 2018 realizada na cidade de Tóquio nos dias 13 e 14 de novembro, os hackers de chapéu branco (Ethical Hackers) mais uma vez demonstraram que até mesmo os smartphones totalmente atualizados que executam a versão mais recente do software de fabricantes de smartphones populares podem ser hackeados.
Três smartphones, sendo iPhone X, Samsung Galaxy S9 e Xiaomi Mi6 estavam entre os dispositivos que foram hackeados com sucesso no concurso anual de hackers organizados pela Zero Day Initiative (ZDI) da Trend Micro, que rendeu US$ 325.000 aos Ethical Hackers como recompensa.
Equipes de hackers participaram de diferentes países representando diferentes empresas de segurança cibernética. Eles divulgaram um total de 18 vulnerabilidades de zero-day em dispositivos móveis fabricados pela Apple, Samsung e Xiaomi, bem como explorações criadas que permitiram que eles assumissem completamente os dispositivos.
IPhone da Apple X rodando iOS 12.1 – Foi Hackeado!
Uma equipe de dois pesquisadores, Richard Zhu e Amat Cama, que se deram o nome de Fluoroacetate, descobriram e conseguiram explorar um par de vulnerabilidades em um Apple iPhone X totalmente com patch por Wi-Fi.
A dupla combinou uma vulnerabilidade just-in-time (JIT) no navegador da Web iOS (Safari) junto com um erro de gravação fora dos limites para o escape e escalação de sandbox para extrair os dados do iPhone executando o iOS 12.1.
Para a demonstração, a dupla optou por recuperar uma foto que havia sido excluída recentemente do iPhone de destino, o que certamente surpreendeu a pessoa na foto. A pesquisa rendeu US$ 50.000 em dinheiro como prêmio .
Richard Zhu and Amat Cama (Team Fluoroacetate) |
Fonte: The Hacker News (2018)
Samsung Galaxy S9 – Também foi hackeado !
Além do iPhone X, a equipe Fluoroacetate também invadiu o Samsung Galaxy S9 explorando uma vulnerabilidade de buffer overflow (estouro de memória) no componente de banda base do telefone e obtendo a execução de código. A equipe ganhou US$ 50.000 como prêmio em dinheiro pelo problema.
“Os ataques de banda básica são especialmente preocupantes, já que alguém pode optar por não participar de uma rede Wi-Fi, mas eles não têm esse controle quando se conectam ao baseband”, escreveu a Zero Day Initiative em um post (Dia 1).
Mais três vulnerabilidades diferentes foram descobertas pela equipe da MWR, que as combinou para explorar com sucesso o Samsung Galaxy S9 através de Wi-Fi, forçando o dispositivo a um portal cativo sem qualquer interação do usuário.
Em seguida, a equipe usou um redirecionamento inseguro e uma carga insegura de aplicativos para instalar seu aplicativo personalizado no dispositivo Samsung Galaxy S9 de destino. A MWR Labs foi recompensada com US$ 30.000 pela sua exploração.
Xiaomi Mi6 – Sim, este também foi hackeado!
Fluoroacetato não parou por aí. A equipe também conseguiu explorar com sucesso o aparelho Xiaomi Mi6 via NFC (near-field communications).
“Usando o recurso de toque para conexão, eles forçaram o telefone a abrir o navegador da Web e navegar para a página da Web especialmente criada”, disse a ZDI.
“Durante a demonstração, nem percebemos que a ação estava ocorrendo até que fosse tarde demais. Em outras palavras, um usuário não teria chance de impedir que essa ação acontecesse no mundo real.”
A vulnerabilidade rendeu à equipe da Fluoroacetate US$ 30.000 em prêmios em dinheiro.
No segundo dia da competição, a equipe Fluoroacetate também utilizou com sucesso uma vulnerabilidade de overflow (estouro de número inteiro) no mecanismo de JavaScript do navegador da web do smartphone Xiaomi Mi6 que permitia que eles filtrassem uma imagem do dispositivo.
O bug proporcionou o ganho de outros US$ 25.000, como premio.
Fluoroacetate ‘Mestre do Pwn’ Título do ano.
A MWR Labs também testou o smartphone Xiaomi Mi6 e combinou cinco bugs diferentes para instalar silenciosamente um aplicativo personalizado via JavaScript, afim de ignorar a lista de permissões do aplicativo e iniciar o aplicativo automaticamente.
Para atingir seu objetivo, os hackers de chapéu branco primeiramente forçaram o navegador web do telefone Xiaomi Mi6 a navegar para um site malicioso, quando o telefone estava conectado a um servidor Wi-Fi controlado por eles.
A combinação de vulnerabilidades rendeu à equipe da MWR US$ 30.000.
No segundo dia, a equipe do MWR combinou uma falha de download junto com uma instalação silenciosa do aplicativo para carregar seu aplicativo personalizado e extrair fotos do telefone. Isso lhes rendeu outros US$ 25.000.
Um pesquisador separado, Michael Contreras, conseguiu explorar uma vulnerabilidade de confusão do tipo JavaScript para obter a execução de código no aparelho Xiaomi Mi6. Ele ganhou US$ 25.000.
Com o maior número de pontos e um total de US$ 215.000, os pesquisadores Camafeu e Zhu ganharam o título de ‘Mestre de Pwn’, registrando cinco das seis demonstrações bem-sucedidas de façanhas contra o iPhone X, Galaxy S9 e Xiaomi Mi6.
Os detalhes de todas as vulnerabilidades de zero-day descobertas e exploradas na competição estarão disponíveis em 90 dias, de acordo com o protocolo do concurso pwn2Own, que inclui a notificação de fornecedores e implantações de patches OEM.
As vulnerabilidades permanecerão abertas até que os fornecedores afetados emitam correções de segurança para resolvê-los.