IE 11 e Google Chrome são hackeados em concurso

Por Redação | 15.11.2013 às 16:10

Pesquisadores conseguiram quebrar a segurança do Microsoft Surface RT, Nexus 4 e Samsung Galaxy S4, explorando uma vulnerabilidade do Internet Explorer 11 rodando no Windows 8.1 e do Google Chrome rodando no Android. As vulnerabilidades foram demonstradas durante o concurso de hacking Mobile Pwn2Own, que aconteceu quarta-feira (13), na PacSec Applied Security Conferece, em Tóquio.

Os pesquisadores Abdul Aziz Harir e Matt Molinyawe, da equipe Hewlett-Packard's Zero Day Initiative (ZDI) – organizadora do concurso – mostraram a falha em um Internet Explorer 11 rodando em um Windows Surface RT, com Windows 8.1. “No geral, explorar um bug no IE é difícil, por causa das proteções e controles de segurança já implementados,” afirmou Harir. A vulnerabilidade foi explorada duas vezes em um endereço de memória e, em seguida, foi acessado um código de execução remota, que deu aos pesquisadores controle total da máquina.

A vulnerabilidade já foi relatada para a Microsoft pelos pesquisadores.

Outro pesquisador, cujo apelido é Pinkie Pie, conseguiu comprometer um Nexus 4 e um Samsung Galaxy S4, explorando uma vulnerabilidade no Chrome.

Conseguir um código de execução remota através de uma vulnerabilidade do Chrome é considerado muito difícil por causa da “sandbox” do aplicativo, que separa os processos do navegador do sistema operacional.

Apenas algumas vulnerabilidades exploradas no sandbox do Chrome foram demonstradas ao longo dos anos e a maioria delas foi apresentada por pesquisadores em concursos hackers. Pinkie Pie já tinha conseguido obter o feito duas vezes, em 2012, como parte dos concursos Google Pwnium.

O prêmio recebido por Pinkie Pie foi de US$ 50.000, sendo US$ 40.000 por ter vencido o concurso e US$ 10.000 de bônus, pago pela equipe de segurança do Google Chrome pelo aplicativo ter sido hackeado em um Nexus 4 ou Galaxy S4.

As vulnerabilidades encontradas por Pinkie Pie já foram relatadas para o Google.

Além desses, um grupo de pesquisadores chineses conseguiu hackear um Galaxy S4 usando vulnerabilidades em aplicativos sem nome pré-instalados no aparelho pela fabricante. E uma equipe da China hackeou dois iPhones 5 rodando iOS 7.0.3 e iOS 6.1.4, explorando vulnerabilidades no Safari.