Kifejezetten azért érkeztek jószándékú hackerek Tokióba, az idei Pwn2Own versenyre, hogy megtalálják a sokak által használt eszközök gyenge pontjait. A Pwn2Own egy számítógépes hackelési verseny, amelyet a ZDI (Zero Day Initative) szervez. A vetélkedő célja, hogy felfedjék az eszközök és szoftverek sérülékenységeit, s ezeket eljuttassák a gyártóknak. Minden sikeres hackelésért pénzjutalom jár, illetve pontokat lehet szerezni.

Már a verseny első napján aratott a Fluoroacetate nevű kéttagú formáció – ha ismerős a név, az nem véletlen, tavaly is ők voltak a legeredményesebbek a versenyben. Idén már az első napon 145 ezer dollár „vérdíj” ütötte a markukat. Először a Sony X800G okostelevízióra fókuszáltak. Egy Javascipt hibát kihasználva át tudták venni az irányítást az eszköz felett, amivel már rávehető az áldozat rosszindulatú weboldalak felkeresésére a tévé webböngészőjéből. Ezért a hibáért 15 ezer dollár járt a fiatalembereknek. Ezután az Amazon Echo Show 5 került célkeresztbe, egészszám-túlcsordulási sebezhetőséggel tudtak hozzáférni az eszközhöz. Ez a ténykedés 60 ezer dollárt hozott nekik. Ezután meghackelték a Samsung Q60 okostelevíziót (15 ezer dollár), a Xiaomi Mi9 okostelefont (20 ezer dollár) és a Samsung Galaxy S10 telefont (30 ezer dollár).

Idén is a Fluoroacetate csapata lett az első

ZDI

Egy másik kéttagú csapat, a Flashback 5000 dollárt kapott a Netgear Nighthawk Smart wifi router feletti irányítás átvételéért (a LAN interfészen), és 20 ezer dollárt azért, hogy a WAN interfészen keresztül is meghackelték az eszközt, és távolról módosították a firmware-ét. 5000 dollár ütötte a markukat egy olyan sebezhetőség kiderítéséért, ami távoli kódfuttatást tett lehetővé a TP-Link AC1750 Smart wifi routernél a LAN interfészen keresztül.

Újonc létére igen jól szerepelt a Flashback csapat

ZDI

A második nap sem hozott túl nagy meglepetést: a várakozásoknak megfelelően a Fluoroacetate szerezte a legtöbb pontot és a legtöbb pénzt. Legjelentősebb eredményük a Galaxy S10 feletti irányítás átvétele volt, ami 50 ezer dollár jutalmat érdemelt. Örülhetett a hacker-duó, annál kevésbé a Samsung, ugyanis immár harmadszorra derült ki, sebezhető a Galaxy S10. A Fluoroacetate a két nap alatt összesen 195 ezer dollár jutalmat zsebelhetett be.

Hackerkedik az F-Secure Labs csapata

ZDI

A többi csapatnak sem kellett szégyenkeznie: a második helyre az F-Secure Labs csapata került.Ők a második napon a TP-Link AC1750 smart wifi-routert nézték ki maguknak, és kihasználva egy hibát, távoli kódfuttatást tudtak végrehajtani az eszközön – 20 ezer dollárért. Ezután az NFC komponenst használva szedtek ki egy fotót egy Xiaomi Mi9 telefonból. Ezért 30 ezer dollárt kaptak, így összességében 70 ezer dollár lett a nyereményük. Az újonc Flashback csapatnak is sikerült kompromittálnia a TP-Link intelligens routerét: egy verem-túlcsordulást és egy logikai hibát kihasználva tudtak kódot futtatni az eszközön. Ennek a problémának a feltárása 20 ezer dollárt ért, így 50 ezer dollárral zárhatták a a versenyt. Nem rossz kezdet.

Összességében 315 ezer dollárt fizettek ki szervezők 18 komolyabb biztonsági problémáért. A gyártók megkapják a hibák részleteit, és 90 napjuk van a biztonsági javítások elkészítésére.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.