O Google Pixel foi quebrado em 60 segundos
a pixel foi alvo de uma equipe de hackers chineses durante o concurso PwnFest, realizado na semana passada. Eles só precisavam de 60 segundos para decifrá-lo. Impressionante, certo?
Para quem ainda não conhece, o PwnFest é um festival dedicado à segurança e aos bugs. A cada ano, os organizadores e seus patrocinadores oferecem a hackers e hackers de todos os tipos a oportunidade de superar diversos produtos selecionados por eles, com muitas recompensas em jogo.
Este ano, várias marcas estiveram presentes, incluindo Microsoft, Apple, Adobe e Google.
PwnFest 2016 aconteceu na semana passada em Seul
Os hackers presentes no local atacaram vários produtos como Edge, Flash, iOS 10, Chrome ou até… Android 7.0 Nougat. Para este último, eles simplesmente tiveram que hackear um Nexus 6P ou um Pixel para ganhar a recompensa no jogo, uma recompensa que atingiu a modesta quantia de US $ 120.000.
Várias equipes aceitaram o desafio, mas todas foram ofuscadas por um grupo de vários hackers chineses.
Ao confiar em uma vulnerabilidade do tipo “dia zero” (e, portanto, em uma vulnerabilidade sem patch conhecido) específica do Pixel, esses hackers extremos conseguiram acessar o terminal remotamente. Então eles aproveitaram para iniciar o Chrome e exibir a frase “Pwned por 360 Alpha Team”mas também lançar a Play Store, sob o olhar estupefato das pessoas presentes no local.
Mas o mais impressionante da história é que eles só precisaram de sessenta segundos para encontrar a falha e explorá-la. Isso é obviamente muito impressionante, especialmente porque essa vulnerabilidade pode ter sido usada para recuperar dados armazenados no telefone ou até mesmo para instalar programas infectados.
60 segundos para encontrar e explorar uma vulnerabilidade de “dia zero”
O Google obviamente monitorou de perto o desempenho deles. A empresa então pediu a seus engenheiros que corrigissem a falha, o que foi feito no dia seguinte. Um patch foi implantado imediatamente no Pixel para impedir que outros hackers menos escrupulosos explorassem essa vulnerabilidade para sua própria conta.
À margem do PwnFest, deve-se lembrar que a maioria dos fabricantes criou programas de caçadores de bugs, programas que recompensam os hackers por suas descobertas.
O Google está acostumado com isso, é claro, e também está à frente de um dos programas mais ativos do mercado.
