Sony paga 10.000 dólares al descubridor de un exploit en el firmware 7.02 de PlayStation 4

A finales de junio Andy “theflow0” Nguyen, un notable y veterano miembro de la scene de PlayStation, anunció que abandonaba sus investigaciones sobre PS4 debido a la toxicidad de esta comunidad. Sin embargo, antes de despedirse theflow0 comunicó su intención de revelar algo. Eso fue el 25 de junio, el mismo día que Sony presentó públicamente su programa de caza de bugs en PlayStation con el que ofrecía recompensas de hasta 50.000 dólares. La fecha elegida no fue casualidad y la historia es la siguiente.

En junio de 2019 theflow0 descubrió una vulnerabilidad en el firmware de PlayStation 4 que no comunicó a nadie. Sin embargo, el 21 de marzo de 2020 decidió usar HackerOne para notificar a Sony su descubrimiento e indicar que el exploit, usado junto a un conocido fallo en el webkit 6.72, permitía cargar copias de seguridad en PS4 con la última versión del firmware, que para entonces era la 7.02 distribuida a finales de 2019. Sony estudió la información, replicó el exploit, decidió que su gravedad era alta y el 26 de marzo recompensó a theflow0 con 10.000 dólares.


Posteriormente, el 23 de abril, HackerOne informó a theflow0 que la vulnerabilidad había sido reparada mediante una actualización del firmware de PlayStation 4. Se trataba de la versión 7.50 que fue liberada pocos días antes, el 17 de abril. Oficialmente la actualización del software era para mejorar “la calidad del rendimiento del sistema”. Ahora sabemos que su objetivo era tapar un exploit descubierto por theflow0 y que de haberse hecho público hubiera permitido cargar respaldos de gran parte del catálogo de PlayStation 4.

El 26 de junio, un día después de que Sony presentara su programa de caza de bugs para PlayStation, theflow0 pidió permiso para publicar su investigación en un post. Al final decidió simplemente divulgar la existencia de la vulnerabilidad y hace unas horas Sony accedió a ello. En consecuencia, la conversación a tres bandas que durante este tiempo han mantenido theflow0, HackerOne y Sony se ha hecho pública, permitiendo que todo el mundo descubra la historia del exploit más avanzado de PS4 que ha sido recompensado con 10.000 dólares.

Desde el punto de vista ético la actitud de Andy “theflow0” Nguyen ha sido la correcta, especialmente si tenemos en cuenta que después de vender el exploit ha decidido abandonar la scene de PS4 (que no la de PS Vita). Por otro lado, nadie debería esperar que ahora se libere la vulnerabilidad para que sea aprovechada en PlayStation 4 con firmware 7.02 o inferior. Sony ha permitido divulgar su existencia, no lanzarlo. Veremos si con el tiempo alguien descubre por su cuenta el mismo exploit o encuentra uno de nuevo.