Riconosciuto come uno dei terminali più sicuri del momento, il Google Pixel viene hackerato al PWNFEST con esecuzione di codice remoto, consentendo al 360 Alpha Team di portarsi a casa il premio di 120.000 dollari messo in palio.
La sicurezza è un argomento che viene tirato in ballo spesso quando si parla di dispositivi mobili. Le compagnie sono perfettamente a conoscenza del fatto che i propri utenti valutano l’acquisto di un terminale anche sotto il punto di vista della privacy e della sicurezza dei dati personali, dato che il settore mobile è quello con la maggior crescita rispetto a tablet e PC.
Non stupisce allora che durante grandi eventi come il PWNFEST vengano messi in palio lauti premi in denaro per i team che scovano gravi falle nella sicurezza di prodotti software e hardware. Nel nostro caso il premio di 120.000$ è stato messo in palio a chiunque fosse riuscito ad eseguire del codice in remoto sull’ultimo dispositivo di casa Google, reputato uno degli smartphone più sicuri al mondo, al pari di iPhone.
Google Pixel hackerato al PWNFEST, ma non va meglio per Microsoft Edge e Safari
I ragazzi del team Qihoo 360 hanno eseguito del codice da remoto, senza avere accesso al terminale, riuscendo ad aprire il Play Store e poi una pagina di Chrome. All’apertura del browser lo smartphone è stato reindirizzato ad una pagina su cui si poteva leggere “Pwned by 360 Alpha Team”.
La metodologia con cui è stato effettuato l’attacco non è nota, e i dettagli verranno mandati direttamente a Google che provvederà a rilasciare in tempi brevi una patch per chiudere questa vulnerabilità.
Ma il Google Pixel non è stato l’unica vittima del PWNFEST. Microsoft Edge su Windows 10 ha mostrato tutte le sue vulnerabilità in circa 18 secondi. Il team di hackers composti da membri del team Qihoo 360 e Junghoo Lee, un hacker coreano, è riuscito ad ottenere l’accesso al livello SYSTEM di Edge.
Non è andata molto meglio per Safari su MacOS Sierra: grazie ad un exploit è stato possibile avere accesso completo al sistema con i privilegi di root, mostrando come anche il browser di Apple sia poco sicuro.
Chiariamo però una cosa: Google Pixel hackerato al PWNFEST non vuol dire che il terminale non sia sicuro, il contrario. I vantaggi di un sistema open-source come Android e Chromium (da cui discende Chrome, NdR) è che il codice è visibile per tutti, ed è più facile individuare le minacce e chiuderle. Come in questo caso, dove i dettagli dell’exploit verranno mandati esclusivamente a Google per poter permettere ai suoi ingegneri software di porre rimedio a queste falle di sicurezza.