Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Команда Fluoroacetate продолжила серию побед, применив вдвое больше эксплойтов, чем каждый из ее соперников.
Участники хакерского турнира Pwn2Own Tokyo 2019 получили $315 тыс. за 18 уязвимостей, которые они обнаружили в умных колонках, телевизорах, роутерах и смартфонах. Уже третий раз подряд главную награду соревнования получили Амат Кама (Amat Cama) и Ричард Жу (Richard Zhu) — их команда Fluoroacetate продемонстрировала больше эксплойтов, чем все остальные соперники, вместе взятые.
Организация Zero Day Initiative ежегодно проводит по два турнира Pwn2Own. Первый проходит весной в Северной Америке и посвящен уязвимостям браузеров, операционных систем, серверов и виртуальных машин. Участники осеннего соревнования в Токио работают с мобильными технологиями. В прошлом году организаторы впервые включили в список целей устройства умного дома — системы видеосвязи и камеры от Facebook, Google и Amazon.
Особый интерес экспертов вызывала возможность взлома Facebook Portal, однако никто из участников не подал заявку на тестирование этой системы. В итоге единственным скомпрометированным хабом умного дома стал Amazon Echo Show 5, который взяла под контроль команда Fluoroacetate, использовав уязвимость целочисленного переполнения (integer overflow).
Помимо этого, Кама и Жу продемонстрировали еще семь эксплойтов:
Уязвимость системы авторизации в NETGEAR Nighthawk Smart WiFi Router R6700 не принесла Fluoroacetate очков, поскольку этой ошибкой успели воспользоваться другие участники соревнования. Еще от одного эксплойта в смартфоне Oppo F11 Pro Кама и Жу отказались сами, чтобы получить больше времени на взлом Samsung Galaxy S10.
Остальные команды записали на свой счет по четыре успешных атаки. Участники Flashback продемонстрировали две уязвимости NETGEAR Nighthawk Smart WiFi Router R6700, включая и ту, которой пыталась воспользоваться Fluoroacetate. Второй баг в этой серии позволил хакерам внедрить в устройство полезную нагрузку, причем избавиться от нее не помог даже сброс к заводским настройкам. Еще несколько ошибок хакеры Flashback нашли в роутере TP-Link AC1750, объединив их в два эксплойта для выполнения стороннего кода.
Команда F-Secure Labs также отметилась атаками на TP-Link AC1750: после успешного внедрения кода хакеры показали игру «змейка» с помощью LED-индикаторов устройства. В другом случае F-Secure Labs уступили очки Flashback из-за совпадения использованных багов.
Индикаторы TP-Link AC1750 «играют в змейку» после атаки FSecureLabs
Еще два выступления F-Secure Labs были посвящены Xiaomi Mi 9. Исследователи смогли похитить данные с устройства, используя логические баги и ошибки NFC.
Организаторы передали информацию об обнаруженных уязвимостях производителям. По сложившейся практике, у разработчиков есть 90 дней на исправление ошибок, прежде чем данные о багах будут опубликованы.
Результаты Pwn2Own Tokyo 2019 оказались скромнее весеннего турнира в Ванкувере. Участники предыдущего соревнования нашли 14 уязвимостей, которые принесли им $510 тысяч.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |