Pwn2Own: Android, Chrome y Mozilla no pudieron ser hackeados

Tanto el iPhone como la BlackBerry fueron hackeados por los expertos en seguridad informática que participan del Pwn2Own. Estos dos se agregaron a la lista de tecnologías hackeadas entre las que ya se encontraban Internet Explorer y Safari. Por el momento, Android, Chrome y Firefox salieron airosos.


El evento Pwn2own es una suerte de “desafío” para los mejores hackers del mundo en el que las empresas les pagan por descubrir agujeros de seguridad en sus exploradores y/o plataformas. Dichos agujeros de seguridad no son publicados en ningún lado hasta tanto no se lance el parche que los soluciona.

Una vez más Charlie Miller volvió a hackear el iPhone. En 2007 ganó popularidad por haber descubierto la primer falla grave de seguridad en el iPhone, y que permitía “liberar” el teléfono. En los Pwn2own de 2009 y 2010, también logró hackear el teléfono estrella de Apple.

Lo curioso es que tanto el iPhone como la BlackBerry utilizan a WebKit como motor web… y ambos fueron vulnerados. Por su parte, Android, Chrome y Firefox salieron indemnes. Sin embargo, eso no sucedió sin una “preparación” previa. Hace apenas una semana Chrome lanzó su versión 10, que incluye al menos 25 correcciones de seguridad. Firefox tampoco es un improvisado a la hora de mejorar la seguridad de sus usuarios. La última versión 3.6.14 incluye al menos 10 correcciones de seguridad.

Como siempre, el ridículo lo pasó Microsoft. Internet Explorer 8 fue hackeado apenas el primer día del evento. Para mal de males, todavía no está claro si Microsoft va a corregir los fallos de seguridad encontrados, ya que está más preocupado por el lanzamiento del lanzamiento de IE 9 que, aparentemente,  sufriría estos fallos de seguridad.

A modo de conclusión, me parece que esta es una buena demostración de que el software libre no sólo tiene justificación política, social, económica y moral. Además, es mejor desde una perspectiva técnica: se pudieron corregir los fallos de seguridad mucho más rápido y se construyeron mejores “piezas de software”. Tanto es así que ni los mejores hackers del mundo están pudiendo vulnerarlos.


7 comentarios

  1.   Usemos Linux dijo

    Hola Victor! Te agradezco mucho tu comentario.

    Creo que tenés algo de razón cuando decís que nadie puso “realmente” a prueba a Firefox o Chrome ya que no hubo un intento “concreto” (por llamarlo de alguna forma) de hackearlo. No obstante, también es cierto que los hackers no supieron/pudieron hackearlos y que, al igual que en el ajedrez, un abandono es una forma de ser derrotado. Es decir, podés perder porque te hicieron jaque mate o porque abandonás. En este caso, los hackers no encontraron el modo de hackear estos programas, como sí lo hicieron en años anteriores. Por ese motivo, me parece que no podemos dudar de su “buena fe” (si es que cabe el término. No cabe duda que hackear Firefox o Chrome les hubiera otorgado un gran crédito, además de unos buenos dólares (ese era el premio, claro está).
    En fin, te dejo mi comentario para reflexionar.
    Un fuerte abrazo! Pablo.

  2.   Victor Martinez dijo

    Hola,

    Me gusta mucho este blog y yo también quiero que todos usemos Linux. Pero no estoy de acuerdo en que le mientas a la gente: Chrome, Firefox y Android NI SIQUIERA FUERON PUESTOS A PRUEBA. Sam Thomas “desistió” de probar Firefox porque “sintió que su explotación no era estable, y los competidores de las otras plataformas no se presentaron.” El atacante de Chrome “también desistió.” (ArsTechnica.com). “Otros programas y materiales también resistieron a los hackers… ¡a falta de participantes! De esta manera Chrome 10, Firefox 3.6, […] y Android han vencido ‘por defecto’: los hackers que debían encargarse simplemente han desistido.” (01net.com) No dudo que tengan mejor protección que las demás plataformas, eso ya quedó claro hace bastante tiempo. Sin embargo, no se puede aseverar que “no pudieron ser hackeados” si ni siquiera se los puso a prueba.

    En contraste, me parece extraño que las plataformas cerradas (IE, iPhone y BlackBerry) hayan sido las únicas puestas a prueba y que por obra y gracia de la casualidad las plataformas de código abierto no hayan sido puestas a prueba. ¿Será que a los gigantes del software cerrado no les conviene que el software libre salga invicto por miedo a un éxodo masivo del público a este último?

    Yo creo que al escribir este post te dejaste llevar por el entusiasmo, y lo entiendo. ¡Es difícil no hacerlo! Tanta gente trabajando en algo libre y gratuito que se precia de ser mejor que algo que las grandes compañías nos quieren forzar a comprar. Pero no olvides la objetividad, es muy importante para que las personas vean realmente que Linux sí tiene más ventajas.

    Finalmente, te dejo los enlaces a los sitios que cité más arriba, junto con los fragmentos que traduje:

    a)

    http://arstechnica.com/security/news/2011/03/pwn2own-day-2-iphone-blackberry-beaten-chrome-firefox-no-shows.ars

    Also due to be tested on Thursday were Firefox, and phones running Android and Windows Phone 7. However, Firefox contestant Sam Thomas withdrew as he felt his exploit wasn’t stable, and the competitors on the other platforms failed to turn up. This means that those platforms, in addition to Chrome (which also had its attacker withdraw), are so far undefeated.

    b)

    http://www.01net.com/editorial/529998/l-iphone-4-n-a-pas-resiste-aux-hackers-du-pwn2own/

    Plusieurs programmes et matériels ont cependant résisté aux hackers… faute de participants ! Chrome 10, Firefox 3.6, Windows Phone 7 et Android ont ainsi vaincu « par forfait » : les hackers qui devaient s’en charger se sont tout simplement désistés.

  3.   Gongui dijo

    Jajaja me mato lo de “Como siempre, el ridículo lo pasó Microsoft”.
    Genial lo de Android y Chrome, Google se ve que se pone las pilas. Lo de Apple y Microsoft era de esperarse 🙂

  4.   Patricio dijo

    les molestaría lanzar la vulnerabilidad a “los salvaje” ?

  5.   123 dijo

    MicroCHOT!

  6.   Joaquin Vacas dijo

    Corrige:
    Big-o-shit.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *