Ese evento anual donde incluso un año en particular, la icónica BlackBerry había también sucumbido post-BlackBerry OS 6 a las maniobras de expertos programadores y hackers, en una competencia que te ganas el equipo que hackeas y esto obviamente es un feedback para las tecnológicas “victimas” para fortalecer y cubrir vulnerabilidades de sus productos y se ha celebrado en esta semana.
En apenas dos días de celebración, no sé si decir que es un bochorno o que bueno que se identifiquen huecos y fallas, pero Pwn2Own este año representó nuevamente una batalla perdida para Safari, Internet Explorer, Firefox, Chrome y Flash, respectivamente de Apple, Microsoft, Mozilla, Google y Adobe.
Primero, empezaremos con Google Chrome, quien cayo gracias al grupo llamado Vupen, quienes curiosamente ya son conocidos en Google por similares éxitos y esta vez, su victoria sobre Google Chrome, los convenció en no tirarse contra Safari de Apple y se llevaron un premio de $100,000.
En este año, la explotación para Google Chrome resultó gracias a sandbox-escape, que se ha vuelto una manera popular de hackear programas que hagan rendering y soporten manejos de PDF con plugins de Adobe, así que en realidad la perdida no es de Google o por lo menos es así como lo veo.
Mientras el Keen Team logró dominar a Safari de Apple con una ejecución de un código que provoco un sandbox-escape como en el caso del Google Chrome y su líder, Liang Chen se llevó la MacBook Pro y $65,000….Nuevamente un nuevo strike indirecto para Adobe.
Por último con el tema de sandbox-escape (definitivamente el favorito este año para los hackers), un investigador anónimo que entró en la competencia, logró explotar una falla de función lectura / escritura arbitraria con una derivación de sandbox-escape, lo que dio lugar a la ejecución de código, pero se otorgará sólo $60,000 a causa de una parte de la presentación ya había sido publicada.
La sorpresa del evento fue la presencia de GeoHot (George Hotz) y es que el buen “amigo” de Apple y Sony (Jailbreak de iPhone y Playstation 3 respectivamente) decidió participar para buscar hackear Firefox de Mozilla y lográndolo por medio de una falla en una función leer/escribir ganándose en menos de minutos $50,000.
Para finalizar con los conocidos, Internet Explorer de Microsoft, sin muchas sorpresas, cayó por Sebastian Apelt y Andreas Schmidt quienes explotaron unas fallas internas y en el kernel de IE.
Demás está decir que muchas de las “victimas” tomaran los resultados y esperen que corrijan las vulnerabilidades en futuras versiones.
