Los participantes del torneo de la piratería Pwn2Own Tokio 2019 hackeado Galaxy Samsung S10, Xiaomi MI9, Amazon Eco y no sólo

El torneo piratería Pwn2Own Tokio 2019, Tradicionalmente, celebrada en el marco de la conferencia PacSec y organizado por la Iniciativa Día Cero Trend Micro (PENSAR), ha llegado a su fin.

Tel suyo es uno de los dos concursos anuales Pwn2Own piratería. La primera se lleva a cabo en América del Norte en la primavera y se centra exclusivamente en los navegadores de hackers, sistemas operativos, soluciones de servidor, y máquinas virtuales. La segunda se celebró en Tokio en el otoño y se dedica a la tecnología móvil. Adicionalmente, El año pasado, los organizadores de Pwn2Own, por primera vez expandieron la fase de otoño para incluir dispositivos de IO para casas inteligentes.

"Este año, la competencia fue el mayor torneo de Pwn2Own en Tokio, con tres grupos que compiten por ocho productos únicos en siete categorías. El premio fue $ 750,000 en efectivo y premios disponibles para los participantes, y, Por supuesto, ninguno concurso Pwn2Own podría prescindir de la coronación del Maestro del NMP (Fregona) y el premio de la chaqueta de MdP codiciado”, – Decir organizadores de Pwn2Own Tokio 2019.

bolsa de premios de la competencia fue $750,000 este año, y la lista de objetivos para Pwn2Own Tokio fue la siguiente:

Los teléfonos inteligentes:

  • Xiaomi Mi 9
  • Galaxy Samsung S10
  • P30 Huawei
  • google Pixel 3 SG
  • Apple iPhone XS Max
  • Oppo F11 Pro

dispositivos portátiles:

  • Serie del reloj de Apple 4
  • óculo de Quest (64gb)

Automatización del hogar:

  • Portal por parte de Facebook
  • Amazon Eco Mostrar 5
  • Google Nido Hub Max
  • Cámara Amazon Cloud cámara de seguridad
  • Nest Cam IQ cubierta

Sets de televisión

  • Serie Sony X800G – 43″
  • Samsung Serie Q60 - 43″

enrutadores:

  • TP-Link Router AC1750 inteligente Wi-Fi
  • NETGEAR Nighthawk Router WiFi Inteligente (R6700)

sobre el primer día de la competición, los fluoroacetate Era un equipo que lleva, que consistía en Cama muy y Richard Zhu. Este equipo ganó las dos últimas competiciones Pwn2Own (En marzo 2019 y noviembre 2018) y Kama y Zhu son actualmente considerados como uno de los mejores hackers del mundo y el mayor número de participantes Pwn2Own exitosas. este año, expertos comprometidos con éxito la columna de Amazon Eco, y hackeado Sony y Samsung televisores inteligentes, y el smartphone Xiaomi MI9.

Como resultado, fluoroacetate ganado $15,000 por hackear el Sony X800G TV, un JavaScript fuera de los límites error de lectura en el navegador integrado. Un atacante puede utilizar este error para obtener un shell en el dispositivo, convencer a la víctima a visitar un sitio malicioso a través de la TV está integrado en el navegador.

El mismo equipo ganó otra $60,000 para tomar el control de un dispositivo de Amazon Echo, que fue implementado a través de desbordamiento de entero. Otro $15,000 procedían de conseguir una cáscara inversa en el Samsung Q60 TV, también realizado a través de desbordamiento de entero.

Adicionalmente, Kama y Zhu ganado $20,000 cuando eran capaces de extraer la imagen del smartphone Xiaomi MI9, simplemente por ir a un sitio especialmente creado. Recibieron otra $30,000 por el robo de imágenes del Samsung Galaxy S10 a través de NFC.

Pedro Ribeiro (equipo Flashback)
Pedro Ribeiro (equipo Flashback)
También en el primer día equipo Flashback hizo un buen trabajo, que incluía Pedro Ribeiro y Radek Domanski. Se las arreglaron para tomar el control de la NETGEAR Nighthawk inteligente Wi-Fi (R6700) router a través de una interfaz de LAN, ganador $5,000. Otro $20,000 al equipo fue traído por la piratería el mismo router a través de la interfaz WAN y de forma remota cambiar su firmware, lo que nos permitió obtener una presencia estable en el dispositivo que puede soportar incluso un restablecimiento de fábrica.

Adicionalmente, Equipo Flashback recibido $5,000 para un exploit cadena que permite la ejecución de código en el router TP-Link AC1750 inteligente WiFi a través de la interfaz LAN.

El último equipo representado Laboratorios de F-Secure y trató de cortar en el router TP-Link y el smartphone Xiaomi MI9. Ambos intentos solamente tuvieron un éxito parcial, pero siguen ganando $20,000 para los hackers. Los expertos han demostrado que pueden extraer una foto de un smartphone Xiaomi, pero el fabricante ya conocía algunas de las vulnerabilidades que se utilizan.

sobre el segundo día de la competición, de siete intentos de piratería previstas, Cuatro fueron un éxito completo.

Lo mejor que de nuevo fue el equipo Fluoroacetato, que obtuvo $50,000 para la descarga de un archivo arbitrario para el Galaxy de Samsung S10 (conectando el dispositivo a su estación base fraudulenta). Kama y Zhu también hicieron un segundo intento de cortar el Galaxy S10 a través de un navegador, pero usaron una vulnerabilidad que ya fue utilizado por el participante anterior.

Como resultado, Zhu y Kama obtuvieron un total de $195,000 en dos días Pwn2Own, y por tercera vez consecutiva fueron declarados ganadores del concurso, recibiendo el título de Maestro del NMP.

Ribeiro y Domansky del equipo ganaron Flashback $20,000 por hackear el TP-Link AC1750 a través de una interfaz WAN. El mismo router fue cortado por el equipo de los laboratorios de F-Secure, que también ganado $20,000. Ambos equipos fueron capaces de ejecutar código arbitrario en el dispositivo.

leer también: Pwn2Own organizadores ofrecerán a los participantes piratear sistemas de ICS

El equipo de F-Secure también recibió $30,000 para una explotar la orientación del Xiaomi MI9. Utilizaron la vulnerabilidad XSS en el componente NFC para extraer datos con sólo tocar una etiqueta NFC especialmente diseñado.

En total, en dos días, Pwn2Own participantes fueron capaces de ganar $315,000 para la explotación 18 diferentes vulnerabilidades, y todos ellos ya se han dado a conocer a los fabricantes. Ahora los vendedores tienen 90 días a corregir las deficiencias.

Polina Lisovskaya

Trabajo como gerente de marketing desde hace años y me encanta buscar temas interesantes para ti.

Deja una respuesta

Botón volver arriba