¿Qué navegador ha sido el más hackeado en la Pwn2Own?
La Pwn2Own es un concurso de hacking que se viene realizando desde hace 10 años. Los participantes son retados a encontrar agujeros de seguridad que puedan ser aprovechados para tomar el control de los diferentes softwares que se evalúan. Los navegadores siempre suelen centrar la atención debido a lo ampliamente utilizados que son. Una vez finalizada la edición de 2017, hemos recopilado todos los datos sobre cuáles han sido los navegadores más hackeados y cuáles han resultado ser “los más seguros”.
El concurso Pwn2Own surge como respuesta a la frustración vivida por Dragos Ruiu por la falta de respuesta de Apple sobre algunos agujeros de seguridad descubiertos y la trivialización de la seguridad de su sistema con respecto a su gran rival Windows. En aquel momento, hablamos del año 2007, Ruiu convocó a varias personas mediante una lista de correo y conectó dos MacBook Pro a su red WiFi. Cualquiera que pudiera conectarse a este punto de acceso hackeando los dispositivos se llevaría uno de ellos a casa.
En aquel momento, no existía recompensa económica, aunque es algo que cambiaría con el tiempo. Para ello, llegó a un acuerdo con Zero Day Initiative (ZDI) para venderle las vulnerabilidades descubiertas durante el concurso a cambio de un precio fijo de 10.000 dólares. Esta organización publica los agujeros de seguridad una vez que tiene constancia de que han sido cerrados por los responsables del software.
A lo largo de los años se ha conseguido tumbar la seguridad de los principales sistemas operativos y navegadores. Tenemos una larga lista de aplicaciones que han caído como Safari, Chrome, Firefox, Windows o macOS, además de los sistemas móviles iOS o Blackberry. A continuación, vamos a ver los resultados de 2017, centrándonos especialmente en la seguridad de los navegadores de Internet.
¿Qué navegador ha sido el más hackeado en la Pwn2Own 2017?
Después de una serie de pruebas sobre los principales navegadores, tal y como se hacen eco desde SoftZone, la fiesta del hacking por excelencia ha podido comprobar la seguridad de los mismos. Sin ir más lejos, Microsoft Edge, el navegador diseñado desde cero por Microsoft para ser el complemente perfecto de Windows 10, no ha salido demasiado bien parado de la edición de la Pwn2Own 2017.
Según los resultados del concurso, fue el software más afectado a nivel de vulnerabilidades si lo comparamos con su competencia directa. Concretamente, Microsoft Edge fue hackeado por estos expertos en seguridad no menos de cinco veces, ya que muchos equipos participantes en el concurso se centraron en el software del gigante de Redmond.
Sin embargo, otro navegador que centró especialmente la atención fue Google Chrome, aunque con unos resultados totalmente diferentes. Según los participantes de la Pwn2Own 2017, el navegador del gigante de Internet fue casi imposible de hackear en el tiempo que tuvieron para conseguirlo.
Los equipos que consiguieron aprovechar las brechas de seguridad de Microsoft Edge se llevaron premios entre 55.000 y 80.000 dólares por ello. Por su parte, los que intentaron hacerlo en Google Chrome no consiguieron el premio por falta de tiempo, ya que sí habían conseguido saltarse las medidas de seguridad, pero no consiguieron terminarlo.
Otro navegador que no soportó la competición Pwn2Own fue Mozilla Firefox. El grupo Chaitin Security Research Lab, de China, consiguió explotar un fallo de seguridad desconocido en Firefox causando un desbordamiento de búfer del navegador para conseguir ganar privilegios dentro del Kernel de Windows, tal y como nos cuentan los compañeros de RedesZone.
La recompensa por localizar este agujero de seguridad fue de 30.000 dólares, reportándose posteriormente a los responsables del software para que apliquen los parches correspondientes lo antes posible. En este caso, Mozilla tardó únicamente 22 horas en liberar el primer parche de Firefox en forma de versión 52.0.1 para cerrar esta brecha de seguridad, sin duda, una noticia a celebrar como usuarios.
Otras aplicaciones también caen en la Pwn2Own 2017
Pese a todo, los navegadores no son los más “perjudicados” por la Pwn2Own 2017. En esta convención han caído aplicaciones y sistemas como Windows, Windows Server, macOS, Ubuntu, Adobe Reader, Adobe Flash Player, Microsoft Edge, Safari, Firefox y VMWare.
El caso de VMWare ha sido especialmente preocupante ya que ha ayudado a ganar el mayor premio de la competición. En total 105.000 euros tanto por lo peligroso del fallo descubierto como por la originalidad al descubrirlo. Los responsables de encontrarlo han logrado aprovechar esa máquina virtual para tomar el control del equipo que la está ejecutando.
Sin duda, la convención Pwn2Own siempre nos deja datos y noticias interesantes. Ahora ya tenemos los focos puestos en la edición de 2018 donde las nuevas versiones de las principales aplicaciones volverán a caer y serán pasto de sus propios agujeros de seguridad.
- Archivado en
- Banda Ancha