해킹 대회 Pwn2Own 도쿄 2019, 전통적으로 PacSec 회의의 일환으로 개최 트렌드 마이크로 Zero Day Initiative (영문) 주최 (THINK), 끝왔다.
티그의 두 연례 Pwn2Own 해킹 대회 중 하나입니다. 첫 번째 봄에 북미에서 개최되며, 해킹 브라우저에만 초점을 맞추고, 운영체제, 서버 솔루션, 및 가상 머신. 두 번째는 가을에 도쿄에서 개최되는 모바일 기술에 전념. 게다가, 작년, 처음 Pwn2Own의 조직은 스마트 가정에 대한의 IoT 장치를 포함하는 가을의 위상을 확대."올해, 경쟁은 도쿄에서 가장 큰 Pwn2Own 대회였다, 일곱 종류 여덟 개 독특한 제품에 대해 경쟁하는 세 그룹으로. 상금이었다 $ 750,000 현금 및 참가자에게 제공 상금, 과, 당연하지, 하지 한 Pwn2Own 콘테스트는 PWN의 마스터의 대관식없이 할 수있는 (닦다) 그리고 탐낼 걸레 재킷의 수상 ", – 말하다 Pwn2Own 도쿄의 조직 2019.
대회의 상금이었다 $750,000 올해, 및 Pwn2Own 도쿄 목표의 목록은 다음이었다:
스마트 폰:
- 샤오 미 미 9
- 삼성 갤럭시 S10
- 화웨이 P30
- 구글 픽셀 3 특대
- 애플 아이폰 XS 최대
- 오포 F11 프로
착용 할 수있는 장치:
- 애플 시계 시리즈 4
- 마력 퀘스트 (64기가)
홈 오토메이션:
- 페이스 북으로 포털
- 아마존 에코 표시 5
- 구글 둥지 허브 최대
- 아마존 클라우드 캠 보안 카메라
- 둥지 캠 IQ 실내
TV 세트
- 소니 X800G 시리즈 – 43″
- 삼성 Q60 시리즈 - (43)″
라우터:
- TP - 링크 AC1750 스마트 와이파이 라우터
- NETGEAR 나이트 호크 스마트 와이파이 라우터 (R6700)
에 대회 첫날, 그만큼 Fluoroacetate 최고의 팀이었다, 그것은 구성 매우 카마 과 리처드 Zhu의. 이 팀은 지난 두 Pwn2Own 대회에서 우승 (월 2019 11 월 2018) 와 카마와 Zhu의 현재 세계 최고의 해커와 가장 성공적인 Pwn2Own 참가자 중 하나 간주됩니다. 올해, 전문가들은 성공적으로 아마존 에코 열을 손상, 성공적으로 소니와 삼성 스마트 TV를 해킹, 그리고 샤오 미 MI9 스마트 폰.
결과, Fluoroacetate 획득 $15,000 소니 X800G TV를 해킹, 자바 스크립트는 아웃 오브 바운드에 읽기 오류가 내장 된 브라우저. 공격자는 장치에 쉘을 얻기 위해이 버그를 사용할 수 있습니다, TV를 통해 악의적 인 사이트를 방문하는 피해자를 설득하는 것은 내장의 브라우저.
같은 팀은 서로를 적립 $60,000 아마존 에코 제어 장치 수강, 정수 오버플로를 통해 구현 된. 다른 $15,000 삼성 Q60 TV에 역 쉘을 받고 온, 또한 정수 오버 플로우를 통해 실현.
게다가, 카마와 Zhu의 취득 $20,000 그들은 샤오 미 MI9 스마트 폰에서 이미지를 추출 할 수있을 때, 단순히 특별히 만든 사이트로 이동하여. 그들은 서로를받은 $30,000 NFC를 통해 삼성 갤럭시 S10의 이미지를 훔친.
또한 첫날 온 팀 플래시백 좋은 일을했다, 포함하는 페드로 리베 과 라덱 Domanski. 그들은 NETGEAR 나이트 호크 스마트 WiFi를 제어 할 관리 (R6700) 랜 인터페이스를 통해 라우터, 수입 $5,000. 다른 $20,000 팀에 WAN 인터페이스를 통해 동일한 라우터를 해킹하고 원격으로 펌웨어를 변경하여 주어졌다, 이는 심지어 공장 초기화를 견딜 수있는 장치에서 안정적인 입지를 얻기 위해 우리를 허용.게다가, 팀 플래시백 수신 $5,000 는 LAN 인터페이스를 통해 연결 TP-AC1750 스마트 무선 라우터 코드를 실행 허용 체인을 위해 이용.
마지막 팀은 표현 F - 시큐어 랩 그리고 TP - 링크 라우터와 샤오 미 MI9 스마트 폰 해킹 시도. 두 시도가 부분적으로 만 성공했다, 하지만 그들은 여전히 적립 $20,000 해커. 전문가들은 그들이 샤오 미 스마트 폰에서 사진을 추출 할 수 있음을 보여 주었다, 그들이 사용했다고하지만, 제조 업체는 이미 취약점의 일부를 알고.
에 대회 둘째 날, 일곱 개 계획 해킹 시도 중, 네 완전히 성공했다.
가장 좋은 것은 다시 Fluoroacetate 팀이었다, 이는 획득 $50,000 삼성 갤럭시 S10에 임의의 파일을 다운로드 (그들의 불법 기지국에 장치를 연결하여). 카마 주하이는 브라우저를 통해 갤럭시 S10를 해킹 할 수있는 두 번째 시도를, 하지만 그들은 이미 이전 참가자에 의해 사용 된 취약점을 사용.
결과, Zhu의 카마는 총 적립 $195,000 이틀 Pwn2Own, 그리고 행의 세 번째 경쟁의 승자를 선언했다, PWN의 마스터의 제목을 수신.
팀 플래시백의 리베과 Domansky 적립 $20,000 WAN을 인터페이스를 통해 TP - 링크 AC1750를 해킹. 같은 라우터는 F-안전 연구소 팀에 의해 해킹, 또한 획득하는 $20,000. 두 팀은 장치에 임의의 코드를 실행할 수 있었다.
또한 읽기: Pwn2Own 주최자는 참가자가 ICS 시스템의 해킹 제공 할 것입니다
은 F - 시큐어 팀은 또한 접수 $30,000 의 샤오 미 MI9을 대상으로 악용. 그들은 단순히 특수하게 조작 된 NFC 태그를 터치하여 데이터를 추출에 NFC 구성 요소에서 XSS 취약점을 사용.
전체적으로, 이틀 안에, Pwn2Own 참가자 적립 할 수 있었다 $315,000 악용 18 다른 취약점, 그들 모두는 이미 제조 업체에 개시되어있다. 이제 업체들은이 90 올바른 결함 일.