Hackers tumban navegadores web
Los navegadores web Internet Explorer 8, Firefox y Safari han sido los primeros defenestrados en el concurso Pwn2Own de la conferencia CanSecWest que se está celebrando en Canadá y que reúne anualmente a los más prestigiosos hackers mundiales con el objetivo de descubrir vulnerabilidades que las compañías solucionen aumentando la seguridad de dispositivos o aplicaciones. Además de los navegadores web citados (se libran Opera y Chrome), otro que ha caído ha sido un iPhone.
Los navegadores web Internet Explorer 8, Firefox y Safari han sido los primeros defenestrados en el concurso Pwn2Own de la conferencia CanSecWest que se está celebrando en Canadá y que reúne anualmente a los más prestigiosos hackers mundiales con el objetivo de descubrir vulnerabilidades que las compañías solucionen aumentando la seguridad de dispositivos o aplicaciones. Además de los navegadores web citados (se libran Opera y Chrome), otro que ha caído ha sido un iPhone.
Charlie Miller, principal analista de seguridad de la compañía Independent Security Evaluators y el hacker más relevante sobre Safari en los últimos años, ha ganado los 10.000 dólares de premio por hackear el navegador web de Apple corriendo sobre un MacBook Pro con Snow Leopard, sin tener acceso físico a la máquina. Miller no ha detallado a la prensa detalles del fallo de seguridad ni el método empleado aunque sí informará –como es obligado en el concurso- a la compañía afectada.
En cuanto a Internet Explorer 8 fue hackeado en una máquina corriendo Windows 7 por un investigador holandés (que ha ganado otros 10.000 dólares) mediante dos exploits en un ataque de cuatro partes evitando ASLR (Address Space Layout Randomization) y DEP (Data Execution Prevention) para hacerse con el control de la máquina.
“Nils” un investigador de seguridad británico que ya ganara el pasado año en Alemania otro concurso contra IE8, Safari y Firefox, ha sido otro de los vencedores en Vancouver tras explotar una vulnerabilidad de corrupción de memoria en Firefox y también pasar por encima de ASLR y DEP de Windows 7.
Además de los navegadores, otros dos investigadores han podido con un iPhone “virgen” (sin jailbreakear) mediante un exploit que fue diseñado para robar la base de datos de SMS evitando los códigos de las firmas digitales del terminal de Apple.