A les televisions del nostre país estem acostumats a veure els concursos més estranys i diversos. Lluny ja de l'«1,2,3 respongui una altra vegada» i de l'«humor groc» dels japonesos, avui dia ens entretenim veient superproduccions de famosos aïllats a illes desertes, o coses per l'estil.
Hi ha un concurs anual que per a nosaltres sol passar inadvertit, però té una gran quantitat de seguidors a nivell mundial. Es tracta del «Pwn2Own«, on es posa a prova els hackers més famosos fent-los «rebentar» diferents sistemes en directe. Un d'ells ha guanyat un bon pessic en piratejar un exploit de Safari.
Cada any, la Zero Day Initiative organitza un concurs de hacking anomenat «Pwn2Own» on els investigadors de seguretat poden guanyar diners si troben vulnerabilitats greus en directe a les principals plataformes com Windows i macOS.
Aquest esdeveniment virtual Pwn2Own 2021 va començar a principis d'aquesta setmana i va comptar amb 23 intents de hacking separats en 10 productes diferents, inclosos navegadors web, virtualització, servidors i altres. Un concurs de diverses hores al dia durant tres jornades consecutives, retransmès en directe a YouTube.
Els sistemes d'Apple no van ser gaire atacats en aquesta edició del concurs, però el primer dia, Jack Dates de RET2 Systems va executar un exploit de Safari «to kernel zero-day» i es va guanyar 100.000 dòlars. Va utilitzar un desbordament d'enters a Safari i una escriptura OOB per obtenir l'execució de codi a nivell del nucli, com certifica el Twitter de l'organització.
Congratulations Jack! Landing a 1-click Apple Safari to Kernel Zero-day at # Pwn2Own 2021 on behalf of RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs
— RET2 Systems (@ret2systems) Abril 6, 2021
No només van piratejar Safari
Altres intents de hacking durant l'esdeveniment Pwn2Own es van dirigir a Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome i Microsoft Edge, obtenint més o menys fortuna.
Per exemple, els investigadors holandesos Daan Keuper i Thijs Alkemade, van demostrar un greu defecte de seguretat a zoom. El duet va explotar un trio de defectes per obtenir el control total d'un PC de destinació fent servir l'aplicació Zoom sense interacció de l'usuari.
Els concursants de Pwn2Own van rebre més de 1,2 milions de dòlars en recompenses pels errors que van descobrir. Pwn2Own dóna a proveïdors com Apple 90 dies per produir una correcció de les vulnerabilitats que es descobreixen, de manera que podem esperar que l'error s'abordi en una propera actualització.