Hackerverseny: amikor semmi nem marad talpon

Számos érdekességgel szolgált a Tokióban megrendezett Pwn2Own hackerverseny. Sorban hullottak el az okostelefonok, okostévék, hálózati eszközök.
 

A Trend Micro Zero Day Initiative (ZDI) szervezésében megrendezett Pwn2Own hackerverseny mindig nagy érdeklődésre tart számot. A mostani megmérettetés elsősorban az okostelefonok, okostévék körül forgott, de szerephez jutottak hálózati eszközök is. A verseny célja, hogy minél több biztonsági problémára világítsanak rá a résztvevők, amelyeket aztán a ZDI megoszt a fejlesztőkkel, hogy minél hamarabb megoldás születhessen a sérülékenységekre. Eközben a résztvevők értékes jutalmakban részesülhetnek.

A kétnapos rendezvény első napján 10 támadást mutattak be a versenyzők, amelyek közül hét bizonyult sikeresnek és díjazhatónak. A Fluoroacetate nevű csapat két fehérkalapos hackere először egy Sony X800G TV-t kényszerített térde, miután egy JavaScript-kezelési hibát sikerült kihasználniuk az okostévé böngészőjében, és parancssoros felülethez jutottak. Ehhez nem kellett mást tenniük, mint a TV segítségével letölteni egy általuk speciálisan összeállított weboldalt. Ezt követően egy Xiaomi Mi9 okostelefonról sikerült egy képet kiszivárogtatniuk szintén egy weblapon keresztül. Végül pedig egy Samsung Galaxy S10-ről kaparintottak meg egy fényképet NFC-vel, bizonyítván az általuk feltárt, adatlopásra lehetőséget adó hiba létezését.

Az első napon a Flashback nevű csapat sikeresen meghackelt egy NETGEAR Nighthawk Smart WiFi routert LAN/WAN portokon keresztül, majd manipulálta az eszköz firmware-jét. Aztán a versenyzők egy TP-Link AC1750 Smart WiFi routert vettek a kezük közé, amelyeket az egyik LAN-porton keresztül támadtak sikeresen. 


A második felvonás

A második napon tovább folytatódott a tűzijáték. Hét sikeres támadást prezentáltak a résztvevők. A Fluoroacetate ismét hallatott magáról, és ezúttal egy hamis bázisállomáson keresztül sikerült egy fájlt mindenféle jogosultság nélkül feltölteniük egy Samsung S10-re. Eközben a TP-Link AC1750 router egy újabb Flashback támadás áldozatává vált, de ugyanezt a hálózati eszközt egy másik módszerrel az F-Secure csapata is sikeresen meghackelte. A F-Secure kutatói a Xiaomi Mi9 ellen még egyszer akcióztak, és egy NFC-sérülékenység kihasználásával adatokat szivárogtattak ki arról. 

Összegzés

A tokiói Pwn2Own szervezői összesen 315 dollár jutalmat osztottak ki 18 különböző - eddig ismeretlen - sebezhetőség felfedezéséért. A ZDI már eljuttatta a biztonsági rések leírását az érintett cégek számára, akiknek 90 napjuk van a frissítések elkészítésére, mielőtt nyilvánosságra kerülnek a sérülékenységek technikai részletei. 
Vélemények
 
  1. 4

    A Visual Studio kritikus fontosságú hibajavításokhoz jutott hozzá.

  2. 4

    Az Adobe 21 biztonsági rést foltozott be a PDF-kezelő alkalmazásain.

  3. 2

    ​A Maze zsaroló program is fájlok titkosítását követően kezdi követelni a felhasználóktól a váltságdíjat.

 
Partnerhírek
Árnyék informatika: így törték fel a NASA laboratóriumát

Hihetetlen, de igaz – az amerikai űrügynökség laboratóriumánál közel egy évig nem vették észre, hogy valaki behatolt a belső hálózatba. A történetben fontos szerepet játszik az úgynevezett árnyék informatika is: a betörők egy olyan miniszámítógépen keresztül jutottak be a hálózatba, melynek létezéséről az IT osztály nem is tudott.

Akár 1,5 millió dollárt fizet a Google egy biztonsági hibáért

Az Apple után a Google is komolyra emelte a tétet a hibavadász programjában, ahol akár 1,5 millió dolláros jutalom ütheti a markát annak, aki a biztonsági hibát fedez fel a Titan M chipben. Persze ehhez kell némi (nagyon sok) szaktudás.

hirdetés
Közösség
1