IE8, Safari, iPhone y BlackBerry caen en el Pwn2Own

Los expertos de seguridad que han participado en el Pwn2Own no han intentado atacar a Chrome, Firefox, Android ni Windows 7.

Los expertos de seguridad que competían por premios de 15.000 dólares consiguieron atacar con éxito a Internet Explorer 8 en Windows 7, Safari en Mac OS X, iPhone 4 y la Blakcberry Torch 9800 en un encuentro anual, Pwn2Own, que se celebra en el marco de la conferencia de seguridad CanSecWest de Vancouver.

Curiosamente no se ha intentado atacar a Chrome, Firefox, Android o Windows 7.

Un equipo de expertos que tenían un exploit preparado contra Windows 7 tuvo que retirarse por problemas con el viaje. Al menos así lo reconoció Aaron Portnoy, director de seguridad de HP DV Labs y responsable del programa ZDI (Zero Day Initiative) que patrocina Pwn2Own.

Windows 7 iba a ser el objetivo de George Hotz, conocido como “Geohot” en el mundo de los hackers, pero tuvo que retirarse para preparar su defensa legal. Hotz ha sido demando por Sony, que le acusa de violar las leyes de derechos de autor al distribuir herramientas de jailbreak para la PlayStation 3, lo que permite eliminar los límites impuestos por Sony y hacer funcionar en la consola aplicaciones caseras o pirateadas.

Otro competidor que iba a intentar hacer caer a Safari, Android e iPhone se retiró a petición de su empresa, aunque la organización no ha querido identificar a ninguno de los dos.

El equipo que hackeó con éxito la Blakcberry también planeaba atacar Chrome, pero al final gastaron su tiempo en exploits para otros objetivos.

El miércoles Chaouki Bekrar, de la empresa de seguridad Vupen fue capaz de atacar Safari a través de una descarga. Stephen Fewer, de Harmony Security, explotó varios fallos de protección de memoria en IE8, además de superar la prevención de ejecución de datos en un portátil funcionando con Windows 7.

Tres investigadores –Willen Pinckaers, Vincenzo Iozzo y Ralf-Philipp Weinmann, utilizaron tres vulnerabilidades para explotar el navegador de Blakcberry y ejecutaron código de ataque en el dispositivo.

Por tercer año consecutivo Charlie Miller tuvo éxito al hackear a Safari en un Mac; utilizó un nuevo exploit que había creado con su colega Dion Blazakis para ejecutar código en el iPhone después de navegar en  una página web especialmente manipulada.

A través de la Zero Day Initiative, los ganadores del Pwn2Own comparten los exploits con las compañías cuyo software está afectado para que puedan parchearlo.

Además de los premios en metálico, los ganadores del concurso reciben portátiles y smartphones, dependiendo de la plataforma que hackeen. Este año Google había puesto sobre la mesa un premio de 20.000 dólares y un portátil para quien pudiera atacar Chrome.