Deltakerne i hacking turneringen Pwn2Own Tokyo 2019 hacket Samsung Galaxy S10, Xiaomi MI9, Amazon Echo og ikke bare

Hacking turnering Pwn2Own Tokyo

Hacking turneringen Pwn2Own Tokyo 2019, tradisjonelt holdt som en del av PacSec konferansen og organisert av Trend Micro Zero Day Initiative (THINK), har kommet til en slutt.

Thans er en av to årlige Pwn2Own hacking konkurranser. Den første er holdt i Nord-Amerika i løpet av våren og fokuserer utelukkende på hacking nettlesere, operativsystemer, serverløsninger, og virtuelle maskiner. Den andre er holdt i Tokyo i høst og er dedikert til mobilteknologi. I tillegg, I fjor, arrangørene av Pwn2Own for første gang utvidet høsten fase å inkludere IOT enheter for smarthus.

"I år, konkurransen var den største Pwn2Own turneringen i Tokyo, med tre grupper som konkurrerer om åtte unike produkter i syv kategorier. Premiepotten var $ 750,000 i kontanter og premier tilgjengelige for deltakerne, Og, Selvfølgelig, ikke en Pwn2Own konkurranse kunne gjøre uten kroningen av Master of Pwn (Mopp) og tildelingen av den ettertraktede MOP jakke”, – Si Arrangørene av Pwn2Own Tokyo 2019.

Konkurransens premiepotten var $750,000 i år, og listen over mål for Pwn2Own Tokyo var følgende:

smartphones:

  • Xiaomi Mi 9
  • Samsung Galaxy S10
  • Huawei P30
  • Google Pixel 3 XL
  • Apple iPhone XS Max
  • Oppo F11 Pro

bærbar enheter:

  • Apple Watch-serien 4
  • Oculus quest (64Gb)

hjemme automasjon:

  • Portal av Facebook
  • Amazon Echo Show 5
  • Google Nest Hub Max
  • Amazon Cloud Cam Security Camera
  • Nest Cam IQ Innendørs

TV-apparater

  • Sony X800G Series – 43″
  • Samsung Q60-serien - 43″

rutere:

  • TP-Link AC1750 Smart WiFi Router
  • NETGEAR Nighthawk Smart WiFi Router (R6700)

første dag av konkurransen, De fluoracetat var en ledende lag, den besto av ekstremt Cama Og Richard Zhu. Dette laget vant de to siste Pwn2Own konkurranser (I mars 2019 og november 2018) og Kama og Zhu er nå regnet som en av de beste hackere i verden og den mest vellykkede Pwn2Own deltakere. i år, eksperter hell kompromittert Amazon Echo kolonne, og vellykket hacket Sony og Samsung smart-TV, og Xiaomi MI9 smarttelefon.

Som et resultat, fluoracetat tjent $15,000 for hacking Sony X800G TV, en Javascript-out-of-bounds lese feil i den innebygde nettleseren. En angriper kan bruke denne feilen for å få et skall på enheten, overbevise offeret til å besøke et ondsinnet nettsted gjennom TV-ens innebygde nettleseren.

Samme lag tjent en annen $60,000 for å ta kontroll over en Amazon Echo anordning, som ble gjennomført ved heltalloverflyt. En annen $15,000 kom fra å få en omvendt shell på Samsung Q60 TV, også realiseres gjennom heltalloverflyt.

I tillegg, Kama og Zhu tjent $20,000 når de var i stand til å trekke ut bildet fra Xiaomi MI9 smarttelefon, ganske enkelt ved å gå til et spesielt opprettet nettstedet. De fikk en annen $30,000 for å stjele bilder fra Samsung Galaxy S10 via NFC.

Pedro Ribeiro (lag Flashback)
Pedro Ribeiro (lag Flashback)
Også på den første dagen lag Flashback gjorde en god jobb, som inkluderte Pedro Ribeiro Og Radek Domanski. De klarte å ta kontroll over NETGEAR Nighthawk Smart WiFi (R6700) ruteren via en LAN-grensesnitt, opptjening $5,000. En annen $20,000 til teamet ble brakt av hacking samme ruter gjennom WAN-grensesnittet og eksternt endre firmware, som tillot oss å få en stabil tilstedeværelse på enheten som tåler enda en fabrikk reset.

I tillegg, Lag Flashback mottatt $5,000 for en utnytte kjede som tillater drift kode på TP-Link AC1750 Smart WiFi-ruter via LAN-grensesnitt.

Det siste laget representert F-Secure Labs og prøvde å hacke inn i TP-Link router og Xiaomi MI9 smarttelefon. Begge forsøkene var bare delvis vellykket, men de fortsatt tjent $20,000 for hackere. Eksperter har vist at de kan trekke ut et bilde fra en Xiaomi smarttelefon, men produsenten allerede visste at noen av sårbarhetene at de brukte.

andre dagen av konkurransen, av sju planlagte hacking, fire var helt vellykket.

Det beste igjen var fluoracetat teamet, som skaffet $50,000 for å laste ned en vilkårlig fil til Samsung Galaxy S10 (ved å koble enheten til sin falsk basisstasjon). Kama og Zhu også gjort et nytt forsøk å hacke Galaxy S10 gjennom en nettleser, men de brukte en sårbarhet som allerede ble brukt av tidligere deltaker.

Som et resultat, Zhu og Kama tjente totalt $195,000 i to dager Pwn2Own, og for tredje gang på rad ble erklært vinnerne av konkurransen, mottar tittelen Master of Pwn.

Lag Flashback er Ribeiro og Domansky tjent $20,000 for hacking TP-Link AC1750 gjennom en WAN-grensesnitt. Det samme router ble hacket av F-Secure Labs teamet, som også tjent $20,000. Begge lagene var i stand til å kjøre vilkårlig kode på enheten.

Les også: Pwn2Own arrangørene vil tilby deltakerne hacke av ICS-systemer

F-Secure-teamet fikk også $30,000 for en utnytte rettet mot den Xiaomi MI9. De brukte XSS sårbarhet i NFC komponent for å trekke ut data ved å berøre en spesiallaget NFC-brikke.

Totalt, om to dager, Pwn2Own deltakerne var i stand til å tjene $315,000 for å utnytte 18 ulike sårbarheter, og alle av dem har allerede blitt gitt til produsenter. Nå leverandører har 90 dager å rette manglene.

Foto av Polina Lisovskaya

Polina Lisovskaya

Jeg jobber som markedssjef i mange år nå og elsker å søke etter interessante emner for deg
Legg igjen et svar

Legg igjen et svar

Tilbake til toppen-knappen