La comunidad que forma la scene de PlayStation 4 lleva algunos días expectante ante los avances de desarrolladores como Sleirsgoevy, que recientemente ha publicado un exploit operativo para el webkit del firmware 9.00, el último disponible. Se trata de un avance que llega con sorpresa, ya que la misma vulnerabilidad también funciona sin ningún tipo de modificación en el webkit del firmware 21.02-04.03.00 de PlayStation 5, el último disponible.
Las vulnerabilidades en el webkit no tienen ninguna utilidad para el usuario final al no servir para cargar respaldos de juegos ni homebrew. Solo permiten poner el pie en una puerta que abre paso a una habitación completamente cerrada. Además, el exploit al que han llamado FontFace aún debe ser refinado para que funcione de una forma más fiable. Sin embargo, estamos ante un primer paso y la historia de la scene nos dice que este tipo de exploits pueden ser el aperitivo del trofeo más deseado, una vulnerabilidad en el kernel.
En el caso de PS5 no podemos olvidar que este es el primer exploit público en el webkit de la consola. Cierto es que asaltar el webkit es la parte sencilla, pero en Nintendo Switch y en otros firmwares de PS4 todo empezó por aquí. Tiempo al tiempo. El consejo para cualquier interesado en expandir las posibilidades de su consola, ya sea una PS4 o PS5, es mantenerla en el software del sistema más bajo. Actualmente el exploit FontFace no se puede migrar al firmware 8.xx de PS4, pero la opción de actualizar la consola siempre está ahí.
Por otro lado, hay que tener en cuenta las medidas de Sony, que a día de hoy van más allá de actualizar el firmware de sus consolas para tapar las vulnerabilidades. Hace poco más de un año la compañía abrió en HackerOne, una web que pone en contacto a investigadores y compañías, un programa de caza de bugs para PS4, PS5 y PlayStation Network con recompensas que pueden alcanzar los 50.000 dólares. Sony ya pagó 10.000 dólares a Andy “theflow0” Nguyen por descubrir un exploit en el software del sistema 7.02 de PS4.
Las recompensas económicas han provocado que algunos hackers, investigadores y desarrolladores prefieran informar a las compañías en lugar de hacer públicas sus investigaciones. Este fue el caso de CTurt, un veterano de la scene que hace un mes cobró de Sony una recompensa de 10.000 dólares. Se desconoce qué vulnerabilidad descubrió, pero por la cantidad podría ser un exploit en el firmware de PS4. Además del dinero, Sony le ha mandado una PS5.
