Il PWN2Own hacking contest è un appuntamento molto importante per il panorama hacker perché alcuni team si sfidano in gare di cracking e hacking che terminano sempre con esiti molto interessanti. Stavolta, il risultato di due test è quantomeno eccezionale e riguarda sia Android (ma più precisamente una sua installazione Samsung) sia iOS.
Questa edizione del PWN2Own si è tenuta durante il PacSec 2013
Un team giapponese che lavora per la Mitsui Bussan Secure Directions ha, infatti, scoperto un modo per iniettare codice eseguibile in un qualsiasi Samsung S4, semplicemente creando un sito internet apposito. Ovviamente, perché l'exploit funzioni, il proprietario dello smartphone deve esser convinto a visitare il sito esca, ma sappiamo bene che non è difficile convincere qualcuno a cliccare su di un link.
L'eccezionalità del bug scovato sta tutta nel fatto che una volta che l'utente ha visitato il sito, non serve altra interazione: il codice viene scaricato automaticamente ed eseguito senza che l'utente si accorga di nulla. Il premio per aver scovato un bug così grave è di ben 40.000 dollari. Anche la vulnerabilità che è stata scoperta per iOS prevede che l'utente clicchi su di un link particolare, ma gli effetti sono decisamente meno funesti, per quanto ancora potenzialmente molto noiosi.
Nella dimostrazione effettuata durante la gara, infatti, il team della società cinese Keen Cloud Tech è riuscita a rubare le credenziali di Facebook da un dispositivo equipaggiato con iOS 7.0.3 e una foto da un altro dispositivo che girava sotto iOS 6.1.4. Dell'attacco non è stato rivelato ancora nulla, ma si sa che non ha violato il sistema di sandboxing, altrimenti la ricompensa sarebbe stata molto più alta.
Perché i premi vengano elargiti, i team devono rilasciare tutta la documentazione e il codice usati per le dimostrazioni, in modo da dare ai produttori tutto il necessario per poter intervenire e chiudere le falle.