Vulnerabilidades encontradas en iPhone 7, Samsung Galaxy S8 y Huawei Mate Pro 9


Si posee un iPhone 7 o Galaxy S8 , es posible que desee comprobar si hay actualizaciones. Esta semana,  Zero Day Initiative  (ZDI) organizó su concurso anual Pwn2Own en Tokio mientras investigadores de todo el mundo se reunían para mostrar exploits en el iPhone 7, Samsung S8 y Huawei Mate 9 Pro .

El evento de este año produjo 32 vulnerabilidades diferentes y otorgó $ 515,000 en pagos a los investigadores.

IPHONE

Qihoo 360 Security expuso una vulnerabilidad en la que los hackers podían usar Wi-Fi para ejecutar código en un iPhone 7. También podían explotar Safari a través de un error en el navegador y uno en los servicios del sistema.

Tencent Keen Security Lab expuso una perturbadora explotación de Wi-Fi en la que los hackers podían usar una serie de errores para obtener la ejecución y escalar privilegios en el iPhone 7 para instalar una aplicación deshonesta. La aplicación permaneció en el dispositivo incluso después de un reinicio.

Fluorescence (Richard Zhu) explotó un error en el navegador Safari del iPhone 7 con un error fuera de límites para escapar de la zona de pruebas del navegador y ejecutar el código en el teléfono.

SAMSUNG

MWR Labs expuso una seria vulnerabilidad en el Samsung Galaxy S8. Los investigadores usaron 11 vulnerabilidades en seis diferentes aplicaciones para ejecutar código y extraer datos del dispositivo. Esta magnitud de errores permitió a los investigadores continuar explotando el teléfono incluso después de un reinicio.

Qihoo 360 Security utilizó el navegador de Internet de Samsung en el Galaxy S8 para ejecutar el código y luego aprovechó una escalada de privilegios en una aplicación de Samsung que persistió a través de un dispositivo de reinicio.

HUAWEI

MWR Labs utilizó una serie de cinco errores en diferentes aplicaciones de Huawei para escapar del arenero del navegador Google Chrome y eliminar datos de un Huawei Mate 9 Pro.

Tencent Keen Security utilizó un Huawei Mate 9 Pro para mostrar la vulnerabilidad más devastadora durante el concurso. Los investigadores pudieron ejecutar un ataque de banda base en el dispositivo y ejecutar código en el procesador de banda ancha. Luego pudieron modificar la Identidad Internacional de Equipos Móviles (IMEI) del dispositivo, algo que podría causar grandes interrupciones si se realizara en la naturaleza. Este fue el primer exploit de banda ancha que se envió a ZDI.

Cada año, ZDI organiza el concurso Pwn2Own no solo para mostrar los exploits de los dispositivos, sino también para brindarles a los proveedores la oportunidad de solucionarlos. Los exploits se proporcionan a los proveedores, que pueden preguntar directamente a los investigadores cualquier pregunta que puedan tener. ZDI luego le da al proveedor 90 días para corregir el problema. Si el proveedor no puede o no soluciona el problema o proporciona una declaración razonable de por qué no se soluciona la vulnerabilidad, ZDI publica un aviso con detalles adicionales sobre los exploits en un esfuerzo por proteger al público.

Vía |digitaltrends

log in

reset password

Back to
log in