Hackerverseny: amikor semmi nem marad talpon

Számos érdekességgel szolgált a Tokióban megrendezett Pwn2Own hackerverseny. Sorban hullottak el az okostelefonok, okostévék, hálózati eszközök.
 

A Trend Micro Zero Day Initiative (ZDI) szervezésében megrendezett Pwn2Own hackerverseny mindig nagy érdeklődésre tart számot. A mostani megmérettetés elsősorban az okostelefonok, okostévék körül forgott, de szerephez jutottak hálózati eszközök is. A verseny célja, hogy minél több biztonsági problémára világítsanak rá a résztvevők, amelyeket aztán a ZDI megoszt a fejlesztőkkel, hogy minél hamarabb megoldás születhessen a sérülékenységekre. Eközben a résztvevők értékes jutalmakban részesülhetnek.

A kétnapos rendezvény első napján 10 támadást mutattak be a versenyzők, amelyek közül hét bizonyult sikeresnek és díjazhatónak. A Fluoroacetate nevű csapat két fehérkalapos hackere először egy Sony X800G TV-t kényszerített térde, miután egy JavaScript-kezelési hibát sikerült kihasználniuk az okostévé böngészőjében, és parancssoros felülethez jutottak. Ehhez nem kellett mást tenniük, mint a TV segítségével letölteni egy általuk speciálisan összeállított weboldalt. Ezt követően egy Xiaomi Mi9 okostelefonról sikerült egy képet kiszivárogtatniuk szintén egy weblapon keresztül. Végül pedig egy Samsung Galaxy S10-ről kaparintottak meg egy fényképet NFC-vel, bizonyítván az általuk feltárt, adatlopásra lehetőséget adó hiba létezését.

Az első napon a Flashback nevű csapat sikeresen meghackelt egy NETGEAR Nighthawk Smart WiFi routert LAN/WAN portokon keresztül, majd manipulálta az eszköz firmware-jét. Aztán a versenyzők egy TP-Link AC1750 Smart WiFi routert vettek a kezük közé, amelyeket az egyik LAN-porton keresztül támadtak sikeresen. 


A második felvonás

A második napon tovább folytatódott a tűzijáték. Hét sikeres támadást prezentáltak a résztvevők. A Fluoroacetate ismét hallatott magáról, és ezúttal egy hamis bázisállomáson keresztül sikerült egy fájlt mindenféle jogosultság nélkül feltölteniük egy Samsung S10-re. Eközben a TP-Link AC1750 router egy újabb Flashback támadás áldozatává vált, de ugyanezt a hálózati eszközt egy másik módszerrel az F-Secure csapata is sikeresen meghackelte. A F-Secure kutatói a Xiaomi Mi9 ellen még egyszer akcióztak, és egy NFC-sérülékenység kihasználásával adatokat szivárogtattak ki arról. 

Összegzés

A tokiói Pwn2Own szervezői összesen 315 dollár jutalmat osztottak ki 18 különböző - eddig ismeretlen - sebezhetőség felfedezéséért. A ZDI már eljuttatta a biztonsági rések leírását az érintett cégek számára, akiknek 90 napjuk van a frissítések elkészítésére, mielőtt nyilvánosságra kerülnek a sérülékenységek technikai részletei. 
Vélemények
 
  1. 3

    A Mozilla Bleach egy közepes veszélyességű sebezhetőséget rejt.

  2. 4

    Az F5 a BIG-IP termékcsaládjához több biztonsági frissítést is letölthetővé tett.

  3. 1

    Az Anchor.A trójai elsősorban azzal tud problémákat okozni, hogy egyéb károkozókat juttat fel a számítógépekre.

 
Partnerhírek
Hogyan legyenek a gyerekek és a tanárok biztonságban a digitális oktatás ideje alatt is?

Az ország összes iskolájában múlt hétfőn digitális oktatás kezdődött. Ez azt jelenti, hogy a gyerekeknek és a tanároknak sok esetben kapkodva, pár óra alatt kell megismerkedniük rengeteg platformmal, letölteni mindeddig ismeretlen programokat, felkészülten állniuk a virtuális világ kihívásai elé.

Home office - milyen intézkedések szükségesek a hatékony otthoni munkavégzéshez?

A koronavírus (COVID-19) terjedésének megfékezése érdekében egyre több hazai vállalkozás esetében kerül előtérbe az otthoni munkavégzés. Ezen a területen azonban egyelőre sok a kérdőjel, mind a cégek, mind a munkavállalók oldalán.

hirdetés
Közösség
1