Deelnemers aan het hacken toernooi Pwn2Own Tokyo 2019 gehackte Samsung Galaxy S10, Xiaomi Mi9, Amazon Echo en niet alleen

Het hacken toernooi Pwn2Own Tokyo 2019, traditioneel gehouden in het kader van de PacSec conferentie- en georganiseerd door het Trend Micro Zero Day Initiative (DENKEN), heeft ten einde.

Thij is een van de twee jaarlijkse Pwn2Own hacken wedstrijden. De eerste wordt gehouden in Noord-Amerika in het voorjaar en richt zich uitsluitend op het hacken van browsers, besturingssystemen, server oplossingen, en virtuele machines. De tweede wordt gehouden in Tokio in de herfst en is gewijd aan mobiele technologie. In aanvulling op, Afgelopen jaar, de organisatoren van Pwn2Own voor het eerst uitgebreid het najaar fase ivd apparaten voor slimme woningen omvatten.

"Dit jaar, de wedstrijd was de grootste Pwn2Own toernooi in Tokyo, met drie groepen strijden om acht unieke producten in zeven categorieën. De prijzenpot was $ 750,000 in cash en prijzen beschikbaar voor deelnemers, En, Natuurlijk, niet een Pwn2Own wedstrijd kon doen zonder de kroning van Master of Pwn (Dweilen) en de toekenning van de felbegeerde MoP jacket”, – Zeggen organisatoren van Pwn2Own Tokyo 2019.

De concurrentie prijzenpot was $750,000 dit jaar, en de lijst van doelen voor Pwn2Own Tokio was het volgende:

smartphones:

• Xiaomi Mi 9
• Samsung Galaxy S10
• Huawei P30
• Google Pixel 3 XL
• Apple iPhone XS Max
• Oppo F11 Pro

draagbare apparaten:

• Apple Watch Series 4
• Oculus Quest (64Gb)

Domotica:

• Portaal verzorgd door Facebook
• Amazon Echo Show 5
• Google Nest Hub Max
• Cloud Cam Beveiliging Amazon Camera
• Nest Cam IQ Indoor

tv-toestellen

• Sony X800G Series – 43″
• Samsung Q60 Series - 43″

routers:

• TP-Link AC1750 Smart Wi-Fi Router
• NETGEAR Nighthawk Smart Wi-Fi Router (R6700)

op de eerste dag van de competitie, De fluoracetaat was een leidende team, het bestond uit uiterst Cama En Richard Zhu. Dit team won de laatste twee Pwn2Own wedstrijden (In maart 2019 en november 2018) en Kama en Zhu zijn op dit moment beschouwd als een van de beste hackers in de wereld en de meest succesvolle Pwn2Own deelnemers. dit jaar, experts met succes gecompromitteerd de kolom Amazon Echo, en met succes gehackt Sony en Samsung Smart TV's, en de Xiaomi Mi9 smartphone.

Als gevolg, fluoracetaat verdiend $15,000 voor het hacken van de Sony X800G TV, een JavaScript-out-of-bounds lezen fout in de ingebouwde browser. Een aanvaller kan deze bug gebruiken om een ​​shell te krijgen op het apparaat, overtuigen van het slachtoffer naar een kwaadaardige site te bezoeken via de tv's ingebouwde browser.

Hetzelfde team verdiend een ander $60,000 voor de controle over een Amazon Echo-inrichting, die werd uitgevoerd door middel integer overflow. Een andere $15,000 kwam van het krijgen van een omgekeerde shell op de Samsung Q60 TV, ook gerealiseerd door integer overflow.

In aanvulling op, Kama en Zhu verdiend $20,000 toen ze in staat waren om het beeld te extraheren uit de Xiaomi Mi9 smartphone, gewoon door te gaan naar een speciaal ontworpen website. Ze kregen een andere $30,000 voor het stelen van beelden van de Samsung Galaxy S10 via NFC.

Ook op de eerste dag van de team Flashback deed goed werk, welke bevatte Pedro Ribeiro En Radek Domanski. Ze slaagden erin om de controle over de NETGEAR Nighthawk Smart WiFi nemen (R6700) router via een LAN-interface, verdiencapaciteit $5,000. Een andere $20,000 aan het team werd gebracht door het hacken van de dezelfde router via de WAN-interface en op afstand veranderen van de firmware, wat ons toeliet om een ​​stabiele aanwezigheid op het apparaat dat zelfs een factory reset kan weerstaan ​​krijgen.

In aanvulling op, Team Flashback ontvangen $5,000 een exploit keten die toelaat draaien code op de TP-Link AC1750 Smart WiFi router via de LAN-interface.

Het laatste team vertegenwoordigd F-Secure Labs en probeerde in te breken op de TP-Link router en de Xiaomi Mi9 smartphone. Beide pogingen waren slechts gedeeltelijk succesvol, maar ze nog steeds verdiend $20,000 voor hackers. Experts hebben aangetoond dat zij een foto van een Xiaomi smartphone kan halen, maar de fabrikant al wist een aantal van de kwetsbaarheden die zij gebruikten.

op de tweede dag van de competitie, van de zeven geplande hackpogingen, vier waren volledig succesvol.

Het beste ding was weer het Fluoracetaat team, die verdiend $50,000 voor het downloaden van een willekeurig bestand naar de Samsung Galaxy S10 (door het apparaat om hun frauduleuze basisstation). Kama en Zhu maakte ook een tweede poging om de Galaxy S10 hack via een browser, maar ze gebruik gemaakt van een kwetsbaarheid die reeds door de vorige deelnemer werd gebruikt.

Als gevolg, Zhu en Kama verdiende een totaal van $195,000 in twee dagen Pwn2Own, en voor de derde keer op rij werd uitgeroepen tot winnaars van de wedstrijd, het ontvangen van de titel Master of Pwn.

Team Flashback's Ribeiro en Domansky verdiend $20,000 voor het hacken van de TP-Link AC1750 via een WAN-interface. Hetzelfde router werd gehackt door de F-Secure Labs team, die ook verdiend $20,000. Beide ploegen konden willekeurige code op het apparaat.

Lees ook: Pwn2Own organisatoren zullen bieden deelnemers hacken van ICS systemen

De F-Secure team kreeg ook $30,000 voor een exploit gericht op de Xiaomi Mi9. Ze gebruikten de XSS-kwetsbaarheid in de NFC component extraheren van gegevens door simpelweg een speciaal vervaardigde NFC-tag aan te raken.

In totaal, binnen twee dagen, Pwn2Own deelnemers waren in staat om geld te verdienen $315,000 voor de exploitatie 18 verschillende kwetsbaarheden, en alle van hen zijn reeds bekend aan fabrikanten. Nu leveranciers hebben 90 dagen om de juiste gebreken.