Zero Day Initiative, do grupo de segurança
TippingPoint da HP, organiza a competição na
conferência canadense CanSecWest
- Crédito: Foto: Divulgação
A edição 2011 da competição de segurança Pwn2Own acabou com o mesmo perdedor e vencedor: o Webkit. Usado nos bastidores pelos navegadores web para “montar” as páginas web na tela, o Webkit foi explorado no Safari, no iPhone e no BlackBerry, enquanto o Chrome, que também o utiliza, saiu ileso da competição. A Pwn2Own 2011 ocorreu na conferência de segurança CanSecWest em Vancouver, no Canadá.As regras da Pwn2Own são simples: um hacker tenta invadir um sistema ou aplicativo. Se conseguir, ele leva um prêmio em dinheiro (US$ 15 mil, este ano) e o computador invadido (notebook ou celular). A competição ocorreu nos dias 9 e 10 de março, mas os resultados oficiais ainda não foram publicados pela Zero Day Initiative, que organiza a competição.
#####Navegadores
O primeiro dia abriu para ataques aos navegadores em PCs. O navegador Safari, da Apple, rodando no MacOS X foi o primeiro a cair. Pesquisadores da companhia francesa de segurança Vupen exploraram a brecha no Webkit e levaram os US$ 15 mil e o Macbook Air. Os pesquisadores disseram que trabalharam no código que explora a vulnerabilidade por duas semanas.
Depois foi a vez do Internet Explorer 8 rodando no Windows 7. Stephen Fewer, que é desenvolvedor da ferramenta de teste de segurança Metasploit, “engatou” três vulnerabilidades para conseguir comprometer o Internet Explorer 8. Ele precisou usar três vulnerabilidades para burlar as proteções de segurança do navegador, inclusive o Modo Protegido que tenta limitar o perigo representado pelas vulnerabilidades.
#####Celulares
No segundo dia foi a vez de ataques em celulares (Android, Windows Phone 7, iPhone e BlackBerry). A Zero Day Initiative levou à competição um isolador de radiofrequência para permitir ataques às antenas dos celulares sem comprometer o método usado para a exploração das falhas. No entanto, ele não precisou ser usado, porque as duas falhas utilizadas foram baseadas em navegadores.
O iPhone com iOS 4.2.1 foi o primeiro a cair nas mãos de Charlie Miller, um já conhecido participante da competição. Para vencer, Miller precisava apagar a lista de contatos do iPhone após uma simples visita a um site – o que ele conseguiu na segunda tentativa. A falha, embora exista no Safari da versão 4.3 do iOS, não funciona devido a novos recursos de segurança que a Apple colocou no sistema.
Vincenzo Iozzo, Willem Pinckaers e Ralf Philipp Weinmann trabalharam juntos para hackear o BlackBerry. O trio afirmou que a maior dificuldade foi a falta de documentação e ferramentas para explorar a plataforma do celular. Eles tiveram de recorrer ao método da “tentativa e erro” até conseguir que o código funcionasse. O alvo foi o navegador web do BlackBerry, que também usa o Webkit. Além de apagar a lista de contatos, os três também criaram um arquivo no celular.
A falha explorada no BlackBerry pelos pesquisadores também atinge o Chrome. No entanto, o navegador utiliza um isolamento para dificultar a exploração de falhas e não se sabe se seria possível explorá-la no navegador do Google ou não. Mesmo assim, o Google já lançou uma nova versão do Chrome com a correção e pagou um prêmio adicional de US$ 1.337 aos pesquisadores.
Ninguém tentou atacar o Chrome em si, apesar de uma oferta US$ 20 mil do Google e ter como prêmio o notebook protótipo CR-48 com o ChromeOS (o navegador estava rodando em um notebook normal com Windows 7).
Os celulares com Windows Phone 7 e Android não foram invadidos, bem como o Firefox da Mozilla. O pesquisador Jon Oberheide publicou um post em seu blog mostrando como poderia ter vencido a Pwn2Own no Android com uma falha simples na página do Android Market, confessando que seria muito melhor o prêmio de US$ 15 mil em vez dos US$ 1337 pagos pelo Google pelas informações sobre a brecha.