En el evento anual de seguridad informática de gran relevancia en la comunidad de expertos en ciberseguridad, Pwn2Own 2023 celebrado en Toronto, Canadá, investigadores lograron hackear el Samsung Galaxy S23, uno de los teléfonos más populares del mercado, ¡en dos ocasiones!
En este evento, destacados investigadores y hackers éticos tienen la oportunidad de mostrar vulnerabilidades en software y sistemas operativos ampliamente utilizados.
El hackeo a Samsung Galaxy S23 se debió a debilidades en la manera en que el teléfono verificaba la información que los usuarios ingresaban. Esta verificación, conocida como «validación de entrada incorrecta», debería asegurarse de que los datos sean seguros y cumplan con ciertos requisitos antes de ser utilizados. Sin embargo, en este caso, hubo problemas en esa validación que permitieron a los hackers tomar control del dispositivo.
El primer equipo en demostrar una vulnerabilidad de día cero, un fallo de seguridad informática previamente desconocido, fue Pentest Limited. Logrando demostrar con éxito un exploit al aprovechar una debilidad en la validación de datos de entrada en el dispositivo. Por su destacada actuación, recibieron un premio de $50,000 y se les otorgaron 5 puntos en la clasificación ‘Master of Pwn’.
Por otro lado, el equipo de STAR Labs SG logró manipular una ‘lista de entradas permitidas’, que es un conjunto de valores considerados seguros para el dispositivo. Como resultado de su exitosa hazaña, ganaron $25,000 en premios y obtuvieron 5 puntos adicionales en la clasificación ‘Master of Pwn’. Cabe destacar que este premio representó la mitad del premio total por ser la segunda explotación exitosa del mismo dispositivo.
Lee también: ChatGPT podría ser una nueva herramienta para los hackers: informe
La ‘lista de entradas permitidas’ es un mecanismo de seguridad que define los valores o datos que un sistema considera como seguros y aceptables. En este contexto, STAR Labs SG logró modificar esta lista para introducir datos maliciosos o no autorizados, lo que les permitió explotar con éxito el dispositivo Galaxy S23 de Samsung y demostrar su capacidad en el campo de la ciberseguridad.
De acuerdo con las reglas establecidas en el concurso Pwn2Own Toronto 2023, todos los dispositivos seleccionados estuvieron funcionando con las versiones más recientes del sistema operativo y tenían instaladas todas las actualizaciones de seguridad disponibles.
Pero eso no es todo. También atacaron otros dispositivos como impresoras, altavoces inteligentes, dispositivos de almacenamiento en red y cámaras de vigilancia de diferentes marcas. Todos estos aparatos tenían sus últimas actualizaciones de seguridad instaladas, lo que demuestra que incluso los dispositivos más seguros no son invulnerables.
Los premios fueron sustanciales, con el primer grupo ganando $50,000 y el segundo $25,000 por lograr estos «hackeos». Además, acumularon puntos en un concurso llamado «Maestro del Pwn». Aunque solo el primero en cada categoría ganó el dinero completo, todos los que tuvieron éxito ganaron puntos.
Los premios más cuantiosas se otorgan a los errores de día cero en la categoría de teléfonos móviles. Los participantes pueden ganar hasta 300,000 dólares por explotar una vulnerabilidad en el iPhone 14 y 250,000 dólares por hacer lo mismo en el Pixel 7. En total, se encuentran disponibles más de 1,000,000 de dólares en premios en efectivo para los concursantes.
El calendario completo del concurso se encuentra disponible en este enlace. Para el primer día de Pwn2Own Toronto 2023, así como los resultados de cada desafío, puedes consultar la información detallada en este otro enlace.
