Sarà anche intelligente, ma forse non è molto sicuro. Durante una conferenza sulla sicurezza a Seul un team di hacker “buoni” cinesi ha mostrato come penetrare nei nuovi smartphone Google Pixel in meno di un minuto. È ovviamente necessario essere grandi esperti per raggiungere un traguardo di questo genere, ma tant’è. L’attacco portato da Qihoo 360, questo il nome degli esperti informatici, dà il cuore del dispositivo in pasto a qualsiasi malintenzionato: con l’exploit è infatti possibile eseguire codice da remoto e lanciare praticamente tutte le app installate nel cellulare. Ma la buona notizia è che Google si è dimostrata talmente contenta di questa dimostrazione da premiare il team con 120mila dollari: la falla è infatti stata presa in carico da Big G e la dimostrazione è avvenuta sotto l’ombrello di un nuovo programma di bug bounty voluto proprio dal colosso di Mountain View.
La patch risolutiva dovrebbe già essere stata distribuita, almeno secondo quanto riporta la testata The Register. Al momento non ci sono segnalazioni di exploit in corso. Accorgersi di un’eventuale manomissione dei sistemi è abbastanza semplice, in quanto il kit messo in campo da Qihoo 360 lancia in automatico il browser Chrome mostrando una pagina con scritto “Pwned By 360 Alpha Team”.
La vulnerabilità sembra infatti essere insita in Chrome e non è la prima volta che gli smartphone Pixel cadono sotto i colpi “teorici” degli hacker. La prima vulnerabilità “zero-day” dei dispositivi è stata rintracciata sempre dai ragazzi di Qihoo 360, in collaborazione con il Keen Team di Tencent (colosso cinese del Web) e mostrata durante l’evento giapponese Mobile Pwn2Own.
Credits: The Register. Un membro del team Qihoo 360 mostra il Google Pixel hackerato
Ma, durante la conferenza di Seul, sono stati messi alla berlina anche Flash e Safari, il browser di Apple. L’exploit dell’applicativo di Adobe è stato portato a termine sfruttando in realtà una serie di falle, compresa una riguardante win32k (driver in modalità kernel di Windows) e ha fruttato ai ricercatori di Qihoo 360 altri 120mila dollari. Il browser della Mela è stato invece violato in soli venti secondi da Pangu, società che realizza anche jailbreak di iOs, sfruttando una vulnerabilità “zero-day” che si è concretizzata in un’escalation di privilegi. Il valore del bounty? Ottantamila dollari.