El Pwn2Own es un certamen que se celebra en la feria de seguridad CanSecWest en Vancouver (Canadá), en el que los más prestigiosos expertos en seguridad del planeta ponen a prueba sus conocimientos para intentar acceder a todo tipo de dispositivos y software.
Controlar la información que transporta el navegador en internet es algo fundamental para preservar la integridad y privacidad de los datos entre el cliente y el servidor, sin embargo iPhone, Safari, Explorer e incluso el consagrado Firefox han caído sin problemas, pero no han podido vulnerar el modo “sandbox” que protege a Chrome.
El primero en caer fue el exitoso iPhone de Apple. Vincenzo Iozzo y Ralf Philipp Weinmann apenas necesitaron 20 segundos para dejar en ridículo al aparato más demandado del momento. Los hackers sólo hicieron que el iPhone (sin jailbreak) ingresara en un sitio previamente desarrollado por ellos, desde donde copiaron toda la base de datos de SMS (incluso los eliminados) a sus servidores.
Charlie Miller, analista principal de seguridad en Independent Security Evaluators, logró hackear Safari en un MacBook Pro con Snow Leopard y sin acceso físico, con lo que ganó 10,000 dólares.
El investigador de seguridad independiente Peter Vreugdenhil ganó la misma cantidad por el hackeo de Internet Explorer 8. Para hackear IE8 Vreugdenhil dijo haber explotado dos vulnerabilidades en un ataque de cuatro partes que evitaban ASLR (Address Space Layout Randomization) y DEP (Data Execution Prevention), que están diseñadas para ayudar a detener ataques en el navegador. Como en otros intentos, el sistema estaba comprometido cuando el navegador visitó un sitio que alojaba código malicioso. El fallo le dio derechos en el ordenador, que demostró haciendo trabajar la calculadora de la máquina.
Firefox también tuvo que doblar la rodilla ante la maña de Nils, jefe de investigación en el Reino Unido de MWR InfoSecurity, que ganó 10,000 dólares. Nils dijo haber explotado una vulnerabilidad de corrupción de memoria y que también tuvo que superar ASLR y DEP gracias a un fallo en la implementación de Mozilla.
Y finalmente, el único que se ha mantenido en pie ha sido Chrome. Hasta ahora es el único navegador que se mantiene invicto, algo que ya había conseguido durante la edición 2009 de este evento que se realiza en Canadá y que busca advertir a los usuarios de las vulnerabilidades de los programas. Según Charlie Miller “Hay fallos en Chrome, pero son muy difíciles de explotar. Ellos diseñaron un modelo de ‘caja de arena’ (sandbox), que es muy complicado de vulnerar“.
Leido en NeoTeo
5 COMENTARIOS
En #opcionweb: : Pwn2Own 2010: Chrome aguanta los ataques http://bit.ly/d5Sb6y
This comment was originally posted on Twitter
Pwn2Own 2010: Chrome aguanta los ataques (Resumen )http://bit.ly/9Vo5zt
This comment was originally posted on Twitter
Mal, Google ya tiene mucho mercado y de todo. Espero que lo puedan matar pronto si no será mucha la competencia para el resto de los navegadores (a quien le gusta actualizar cada 1 semana?)
[…] Mas cosas a favor del navegador Chrome Abril 10, 2010 etiquetas: chrome, Pwn2Own by penseo Ya hice hace unos días una entrada en la que daba mi opinion acerca de este último navegador y ahora resulta que Chrome ha sido el único navegador que ha resistido los ataques informáticos en el prestigioso concurso Pwn2Own. No tengo mucho que añadir, ya que todo está detallado en opcionweb. https://www.opcionweb.com/index.php/2010/03/28/pwn2own-2010-chrome-aguanta-los-ataques/ […]
[…] Ya hice hace unos días una entrada en la que daba mi opinion acerca de este último navegador y ahora resulta que Chrome ha sido el único navegador que ha resistido los ataques informáticos en el prestigioso concurso Pwn2Own. No tengo mucho que añadir, ya que todo está detallado en opcionweb. https://www.opcionweb.com/index.php/2010/03/28/pwn2own-2010-chrome-aguanta-los-ataques/ […]