A finales de junio Andy “theflow0” Nguyen, un notable y veterano miembro de la
scene de PlayStation, anunció que abandonaba sus investigaciones sobre PS4 debido a la toxicidad de esta comunidad. Sin embargo, antes de despedirse theflow0 comunicó su intención de
revelar algo. Eso fue el 25 de junio, el mismo día que Sony presentó públicamente su
programa de caza de bugs en PlayStation con el que ofrecía recompensas de hasta 50.000 dólares. La fecha elegida no fue casualidad y la historia es la siguiente.
En junio de 2019
theflow0 descubrió una vulnerabilidad en el
firmware de PlayStation 4 que no comunicó a nadie. Sin embargo, el 21 de marzo de 2020 decidió usar HackerOne para notificar a Sony su descubrimiento e indicar que el
exploit, usado junto a un
conocido fallo en el webkit 6.72, permitía cargar copias de seguridad en PS4 con la última versión del
firmware, que para entonces era la 7.02 distribuida a finales de 2019. Sony estudió la información, replicó el
exploit, decidió que su gravedad era alta y el 26 de marzo recompensó a theflow0 con 10.000 dólares.
Posteriormente, el 23 de abril, HackerOne informó a theflow0 que la vulnerabilidad había sido reparada mediante una actualización del
firmware de PlayStation 4. Se trataba de la versión 7.50 que fue liberada pocos días antes, el 17 de abril. Oficialmente la actualización del software era para mejorar “la calidad del rendimiento del sistema”. Ahora sabemos que su objetivo era tapar un
exploit descubierto por theflow0 y que de haberse hecho público hubiera permitido cargar respaldos de gran parte del catálogo de PlayStation 4.
El 26 de junio, un día después de que Sony presentara su programa de caza de
bugs para PlayStation, theflow0 pidió permiso para publicar su investigación en un post. Al final decidió simplemente divulgar la existencia de la vulnerabilidad y hace unas horas Sony accedió a ello. En consecuencia, la conversación a tres bandas que durante este tiempo han mantenido theflow0, HackerOne y Sony
se ha hecho pública, permitiendo que todo el mundo descubra la historia del
exploit más avanzado de PS4 que ha sido recompensado con 10.000 dólares.
Desde el punto de vista ético la actitud de Andy “theflow0” Nguyen ha sido la correcta, especialmente si tenemos en cuenta que después de vender el
exploit ha decidido abandonar la
scene de PS4 (que no la de PS Vita). Por otro lado, nadie debería esperar que ahora se libere la vulnerabilidad para que sea aprovechada en PlayStation 4 con
firmware 7.02 o inferior. Sony ha permitido divulgar su existencia, no lanzarlo. Veremos si con el tiempo alguien descubre por su cuenta el mismo
exploit o encuentra uno de nuevo.