Nel corso del Mobile Pwn2Own tenutosi dal 13 al 14 novembre 2013 in quel di Tokyo, tra i tanti dispositivi testati sul fronte della sicurezza è stato dimostrato che il Samsung Galaxy S4 e l’Apple iPhone 5 sono smartphone facili prede degli hacker.
Per quanto riguarda la falla di sicurezza del Samsung Galaxy S4, a dimostrarlo è stato il team di professionisti MBSD proveniente dal Giappone, che si adoperato al fine di trovare e mettere in evidenza un’importante vulnerabilità a bordo del dispositivo top di gamma dell’azienda sudcoreana.
Il team MBSD ha preso in esame un Samsung Galaxy S4 senza i permessi di root, dopodiché i ragazzi della squadra hanno effettuato l’accesso tramite browser internet in un sito truccato, in modo da poter installare un malware a bordo del dispositivo e rubare i dati sensibili dell’utente registrato.
Tutto è stato fatto in maniera molto semplice e, infatti, oltre al caricamento della pagina web iniziale, per il team dei ragazzi che vestivano i panni dell’ipotetico hacker, non è stato necessario effettuare alcun altro intervento.
A differenza di quanto potremmo pensare, il malware non si è insediato a partire da Android, spesso indicato come il sistema operativo mobile meno sicuro tra gli altri, ma da alcune applicazioni che la stessa azienda sudcoreana ha preinstallato nello Samsung Galaxy S4. La buona notizia – non per noi, ndr – è che il team MBSD, grazie a questa dimostrazione, si è aggiudicato ben 40 mila dollari.
Quello che forse non potevamo immaginare è che uno studio recente ha dimostrato come la maggior parte delle vulnerabilità di sicurezza imputate al sistema operativo del robottino verde Android spesso non dipendono da esso, ma dalle applicazioni extra che i produttori di smartphone e tablet includono prima che questi vengano messi in commercio. Inoltre è stato anche dimostrato che i dispositivi Samsung hanno registrato il numero più alto di falle di sicurezza nella ricerca in questione.
Sempre durante l’evento Mobile Pwn2Own, oltre al Samsung Galaxy S4 è stato sottoposto alla prova di sicurezza anche anche un Apple iPhone 5 non jailbroken, con installato il sistema operativo iOS nella versione 7.0.3 e non possiamo certo dire che lo smartphone di Cupertino sia risultato migliore del rivale Samsung Galaxy S4.
A dimostrarlo, questa volta, è stato il team di origine cinese Keen, che è riuscito a rubare i dati sensibili di un utente possessore dell’iPhone 5 in questione. I tre ragazzi del team hanno indirizzato il browser web Safari verso una pagina Facebook truccata, sfruttando una falla presente nel motore di rendering WebKit, per scovare i cookie dell’utente, nonché altre credenziali di accesso già memorizzate nel dispositivo.
Gli Apple iPhone 5S e iPhone 5C non sono stati testati durante l’evento, ma è molto probabile che siano altrettanto vulnerabili in quanto la falla di sicurezza è stata individuato in WebKit, che è alla base di Safari.
In questo caso la buona notizia è che il team Keen, grazie all’impresa effettuata, si è aggiudicato ben 27.500 dollari, poco più della metà rispetto ai 40 mila previsti per la categoria, in quanto la loto dimostrazione non funzionava con il sandbox di Safari, passaggio importante per colpire altre applicazioni del sistema operativo iOS.