Deltagerne på hacking turnering Pwn2Own Tokyo 2019 hacket Samsung Galaxy S10, Xiaomi Mi9, Amazon Echo og ikke kun

relaterede artikler

Sådan fjerner Exilechild.host popup-annoncer

11 timer siden

Den hacking turnering Pwn2Own Tokyo 2019, traditionelt afholdt som en del af PacSec konferencen og arrangeret af Trend Micro Zero Day Initiative (TÆNK), er kommet til en ende.

Thans er en af ​​to årlige Pwn2Own hacking konkurrencer. Den første afholdes i Nordamerika i foråret og fokuserer udelukkende på hacking browsere, operativsystemer, server løsninger, og virtuelle maskiner. Den anden er afholdt i Tokyo i efteråret og er dedikeret til mobil teknologi. Desuden, sidste år, arrangørerne af Pwn2Own for første gang udvidet efteråret fase at inkludere tingenes internet udstyr til intelligente hjem.

"Dette år, konkurrencen var den største Pwn2Own turnering i Tokyo, med tre grupper konkurrerer om otte unikke produkter i syv kategorier. Præmiepuljen var $ 750,000 i kontanter og præmier til rådighed for deltagerne, og, selvfølgelig, ikke én Pwn2Own konkurrence kunne undvære kroningen af ​​Master of fyrretræsnematoden (Mop) og tildeling af den eftertragtede MoP jakke”, – sige arrangørerne af Pwn2Own Tokyo 2019.

Konkurrencen er præmiepuljen var $750,000 dette år, og listen over mål for Pwn2Own Tokyo var følgende:

Smartphones:

• Xiaomi Mi 9
• Samsung Galaxy S10
• Huawei P30
• Google Pixel 3 XL
• Apple iPhone XS Max
• Oppo F11 Pro

bærbare enheder:

• Apple Watch Series 4
• Oculus Quest (64Gb)

Home system:

• Portal af Facebook
• Amazon Echo Vis 5
• Google Nest Hub Max
• Amazon Cloud Cam sikkerhed kamera
• Nest Cam IQ Indoor

tv-apparater

• Sony X800G serien – 43″
• Samsung Q60 Series - 43″

Routere:

• TP-Link AC1750 Smart WiFi Router
• NETGEAR Nighthawk Smart WiFi Router (R6700)

På den første dag i den konkurrence, det fluoroacetat var en førende hold, den bestod af ekstremt Cama og Richard Zhu. Dette hold vundet de sidste to Pwn2Own konkurrencer (i marts 2019 og november 2018) og Kama og Zhu er i øjeblikket betragtes som en af ​​de bedste hackere i verden og den mest succesfulde Pwn2Own deltagere. Dette år, eksperter med succes kompromitteret Amazon Echo kolonne, og med held hacket Sony og Samsung smart-tv'er, og Xiaomi Mi9 smartphone.

Som resultat, fluoroacetat optjent $15,000 for hacking Sony X800G TV, en JavaScript out-of-bounds læsefejl i den indbyggede browser. En hacker kan bruge denne fejl til at få en shell på enheden, overbevise offeret til at besøge et ondsindet websted via fjernsynets indbyggede browser.

Det samme hold oparbejdet en anden $60,000 for at tage kontrol over en Amazon Echo enhed, som blev gennemført ved hjælp heltalsoverløb. En anden $15,000 kom fra at få en omvendt shell på Samsung Q60-tv, også realiseres ved heltalsoverløb.

Desuden, Kama og Zhu tjente $20,000 når de var i stand til at udtrække billedet fra Xiaomi Mi9 smartphone, simpelthen ved at gå til en specielt oprettet website. De fik en anden $30,000 for at stjæle billeder fra Samsung Galaxy S10 via NFC.

Også på den første dag i Team Flashback gjorde et godt stykke arbejde, som omfattede Pedro Ribeiro og Radek Domański. Det lykkedes dem at overtage kontrollen med NETGEAR Nighthawk Smart WiFi (R6700) router via et LAN-interface, indtjening $5,000. En anden $20,000 til holdet blev anlagt af hacking den samme router via WAN-grænsefladen og fjernt ændre sin firmware, som tillod os at få en stabil tilstedeværelse på den enhed, der kan modstå selv en fabrik reset.

Desuden, Team Flashback modtaget $5,000 for en udnytte kæde, der gør det muligt at køre kode på TP-Link AC1750 Smart WiFi-router via LAN-interface.

Det sidste hold repræsenterede F-Secure Labs og forsøgte at hacke sig ind i TP-Link routeren og Xiaomi Mi9 smartphone. Begge forsøg var kun delvis succes, men de stadig tjente $20,000 for hackere. Eksperter har vist, at de kan udtrække et billede fra en Xiaomi smartphone, men producenten allerede vidste nogle af de svagheder, de brugte.

På den anden dag i konkurrencen, ud af syv planlagte hacking forsøg, fire var helt vellykket.

Det bedste var igen den fluoroacetat hold, der tjente $50,000 til download af en vilkårlig fil til Samsung Galaxy S10 (ved at tilslutte enheden til deres svigagtige basestation). Kama og Zhu også gjort et nyt forsøg for at hacke Galaxy S10 via en browser, men de brugte en sårbarhed, der allerede blev brugt af den tidligere deltager.

Som resultat, Zhu og Kama tjente i alt $195,000 i to dage Pwn2Own, og for tredje gang i træk blev erklæret vindere af konkurrencen, modtager titlen Master af fyrretræsnematoden.

Team Flashback s Ribeiro og Domansky oparbejdet $20,000 for hacking TP-Link AC1750 gennem et WAN-grænseflade. Det samme router blev hacket af F-Secure Labs hold, som også fortjent $20,000. Begge hold var i stand til at udføre vilkårlig kode på enheden.

Læs også: Pwn2Own arrangørerne vil tilbyde deltagerne hacke af ICS systemer

F-Secure hold modtog også $30,000 for en udnytte målrette Xiaomi Mi9. De brugte den XSS sårbarhed i NFC komponent til udtrække data ved blot at berøre en særligt udformet NFC-tag.

I alt, om to dage, Pwn2Own deltagerne var i stand til at tjene $315,000 for at udnytte 18 forskellige sårbarheder, og alle af dem er allerede blevet videregivet til producenter. Nu leverandører har 90 dage til at rette fejl og mangler.