Un par de investigadores europeos lograron entrar en un iPhone con todos los parches y secuestrar la base de datos de SMS completa, incluyendo mensajes de texto que ya habían sido eliminados, todo esto se sucedió bajo el marco del concurso de hackers CanSecWest: Pwn2Own en la edición 2010.

Este año los objetivos no fueron los sistemas operativos de escritorio, sino los famosos Smartphone, Pwn2Own ofrece premios de 15,000 dólares a cualquiera que pueda superar la seguridad impuesta en los iPhone, BlackBerry Bold, Droid y Nokia, los concursantes tenían que acceder tanto al navegador como al sistema operativo móvil superando las técnicas de seguridad que se manejan en dichos dispositivos.

Tal parece que este desafío no fue nada difícil para los hackers preparados, ya que el dúo Vincenzo Iozzo y Ralf Philipp Weinmann, explotaron una vulnerabilidad desconocida en el iPhone, en el que mediante la visita a un sitio web falso, accedieron a la base de datos de SMS en aproximadamente 20 segundos.

La hazaña hizo fallar la sesión del navegador del iPhone, pero Weinmann, dijo que, con algún esfuerzo adicional, se podría haber un ataque con éxito con el navegador en marcha.

"Básicamente, cada página que el usuario visita en nuestro sitio (falso) obtiene la base de datos SMS y la sube a un servidor que nosotros controlamos", explicó Weinmann quien colaboró con Iozzo en todo el proceso de encontrar la vulnerabilidad y escribir el xploit, el proceso completo duró cerca de dos semanas.

El duo de expertos ganó el premio de $15,000 dólares, e el patrocinador del evento, TippingPoint, se convirtió en el único propietario de los derechos de la vulnerabilidad, la cual será reportada a Apple para que sea solventada.

Fuente | zdnet