bb_pwned

El Pwn2Own es un concurso de hacking celebrado en la conferencia de seguridad anual CanSecWest desde el 2007. En dicho concurso se les reta a los participantes a romper la seguridad en software y plataformas específicas (especialmente navegadores web y otras herramientas relacionadas con la web). Los ganadores reciben el dispositivo/computadora que han hackeado y dinero en efectivo.

En años pasados, RIM había salido ilesa, pero este año, un BlackBerry Torch ejecutando OS 6.0.0.246 fue hackeado exitosamente utilizando el esperado navegador Webkit. El exploit permitió a Vincenzo Iozzo, Willem Pinckaers y Ralf Philipp Weinmann ganar acceso a toda la información de contacto así como también la base de datos de imágenes. El director de seguridad de RIM, Adrian Stone estuvo presente para confirmar.

Estos tres hackers lograron este ataque sin conocer el sistema, sabiendo apenas que posee un navegador Java y una máquina virtual, pues no existe documentación pública del funcionamiento del interior del sistema operativo. Lo que ellos hicieron fue ejecutar varias técnicas de intento-error para crear un exploit de ejecución de código confiable.

Siendo esto así, asumieron que si lograban coger el navegador, podían entrar al resto del sistema. El resultado fue un ataque satisfactorio.

Adrian Stone dijo que trabajarán para analizar este incidente de seguridad y liberar una actualización de seguridad que sería enviada a las operadoras.

Fuente: Pwn2Own 2011: BlackBerry falls to WebKit browser attack (zdnet)