Hackede Samsung Galaxy S10 og flere andre forbrugerprodukter – vandt 195.000 dollars

Producenterne er blevet oplyst om sikkerhedsfejlene.

For nylig blev den store Pwn2Own-konkurrence afholdt, hvor sikkerhedsforskere fra hele verden samler sig for at udvikle ‘exploit’-software for en række forskellige forbrugerprodukter og teknologi.

Konkurrencen arrangeres af sikkerhedsselskabet Trend Micros Zero Day Initiative.

Vandt 195.000 dollars

De to sikkerhedsforskere, som røg helt til tops denne gang, Amat Cama og Richard Zhu (‘Fluoroacetate’), kunne tage i alt 195.000 dollars hjem med – for at have formået at hacke flere forskellige forbrugerprodukter.

Blandt de mest indbringende resultater for de to sikkerhedsforskere var hackingen af Samsungs flagskibsmobil Galaxy S10 – noget, de gjorde hele to gange.

I det ene forsøg koblede hackerne sig på mobilen ved hjælp af en basestation og udførte et ‘stack overflow’-angreb, som blev brugt til at plante kode på mobilen – kode, som i et rigtigt tilfælde kunne have været malware.

I en anden vellykket demonstration blev S10’s NFC-teknologi brugt til at udføre et angreb.

Forskerne udnyttede en fejl i JavaScript JIT fulgt af en såkaldt ‘use after free’-teknik til at undslippe sandkassen og stjæle et billede fra telefonen – kun med et tryk.

Hackede også Amazons smartskærm

De to Galaxy S10-angreb gav alene en belønning på solide 80.000 dollars. Hackerne brugte også en JavaScript-bug til at hente et billede fra en Xiaomi Mi9-mobil, hvilket gav en belønning på 20.000 dollars.

Amat Cama og Richard Zhu demonstrerede også et angreb på Amazons Alexa-baserede smartskærm Echo Show 5.

Ved hjælp af et ‘integer overflow’-angreb formåede hackerne at tage fuld kontrol over smartskærmen, hvilket gav en dusør på 60.000 dollars.

Derudover hackede Fluoroacetate-duoen også tv-modellen Sony X800G, som markerer første gang, at tv-hacking er blevet demonstreret på Pwn2Own-konkurrencen.

Tilsammen blev der under Pwn2Own uddelt 315.000 dollars for afdækningen af i alt 18 fejl i de forskellige produkter.

Producenter har modtaget detaljer om fejlene og har nu 90 dage til at få fiksene på plads.

Flere detaljer finder du hos Zero Day Initiative.

Artiklen er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere