Ερευνητές ασφαλείας παραβίασαν το Samsung Galaxy S23 δύο φορές κατά τη διάρκεια της πρώτης ημέρας του διαγωνισμού hacking Pwn2Own 2023 στο Τορόντο του Καναδά. Έκαναν επίσης επίδειξη exploits και αλυσίδων ευπάθειας που στοχεύουν σε zero-day στο 13 Pro της Xiaomi, καθώς και σε εκτυπωτές, έξυπνα ηχεία, συσκευές Network Attached Storage (NAS) και κάμερες παρακολούθησης από τις Western Digital, QNAP, Synology, Canon, Lexmark και Sonos.
Η Pentest Limited ήταν η πρώτη που έκανε επίδειξη μιας zero-day στη ναυαρχίδα της Samsung, τη συσκευή Galaxy S23, εκμεταλλευόμενη την αδυναμία ακατάλληλης επικύρωσης εισόδου για να επιτύχει εκτέλεση κώδικα, κερδίζοντας 50.000 δολάρια και 5 βαθμούς Master of Pwn. Η ομάδα STAR Labs SG εκμεταλλεύτηκε επίσης έναν κατάλογο επιτρεπόμενων εισόδων για να παραβιάσει ένα Samsung Galaxy S23, κερδίζοντας 25.000 δολάρια και 5 βαθμούς Master of Pwn.
Success! Pentest Limited was able to execute an Improper Input Validation against the Samsung Galaxy S23. They earn $50,000 and 5 Master of Pwn points. #Pwn2Own pic.twitter.com/VaLc1mnhiH
— Zero Day Initiative (@thezdi) October 24, 2023
Σύμφωνα με τους κανόνες του διαγωνισμού Pwn2Own Toronto 2023, όλες οι στοχευόμενες συσκευές τρέχουν τις τελευταίες εκδόσεις λειτουργικού συστήματος με εγκατεστημένες όλες τις ενημερώσεις ασφαλείας. Η ZDI απένειμε 438.750 δολάρια κατά την πρώτη ημέρα του διαγωνισμού για 23 επιτυχώς επιδειχθείσες zero-day ευπάθειες.
Κατά τη διάρκεια της εκδήλωσης hacking Pwn2Own Toronto 2023 που διοργανώνεται από το Zero Day Initiative (ZDI) της Trend Micro, οι διαγωνιζόμενοι μπορούν να στοχεύσουν σε συσκευές κινητής τηλεφωνίας και IoT.
Ο πλήρης κατάλογος περιλαμβάνει κινητά τηλέφωνα (π.χ. Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 και Xiaomi 13 Pro), εκτυπωτές, ασύρματους δρομολογητές, NAS, κεντρικούς υπολογιστές οικιακού αυτοματισμού, συστήματα παρακολούθησης, έξυπνα ηχεία και συσκευές Pixel Watch και Chromecast της Google, όλα στην προεπιλεγμένη τους διαμόρφωση και με τις τελευταίες ενημερώσεις ασφαλείας.
Οι υψηλότερες αμοιβές είναι για σφάλματα zero-day στην κατηγορία των smartphone, με χρηματικά έπαθλα έως και 300.000 δολάρια για την παραβίαση του iPhone 14 και 250.000 δολάρια για το Pixel 7, και περισσότερα από 1.000.000 δολάρια σε μετρητά διαθέσιμα για τους διαγωνιζόμενους.
Η επιτυχής εκμετάλλευση συσκευών της Google και της Apple παρέχει επίσης μπόνους 50.000 δολαρίων εάν τα ωφέλιμα φορτία εκμετάλλευσης εκτελούνται με προνόμια σε επίπεδο πυρήνα. Ως αποτέλεσμα το μέγιστο δυνατό βραβείο για μία μόνο πρόκληση ανέρχεται συνολικά σε 350.000 δολάρια για μια πλήρη αλυσίδα εκμετάλλευσης με πρόσβαση σε επίπεδο πυρήνα με στόχο το Apple iPhone 14.
iPhone 15 Pro: Το χειρότερο σε αξιολογήσεις premium smartphone της Apple
Μπορείτε να βρείτε τα αποτελέσματα της πρώτης ημέρας του διαγωνισμού στον σύνδεσμο της πηγή. Τη δεύτερη ημέρα του διαγωνισμού, το Samsung Galaxy S23 θα δοκιμαστεί και πάλι από τον ερευνητή ασφαλείας Le Xich Long και τους hackers της εταιρείας έρευνας ευπαθειών Interrupt Labs.
Τον Μάρτιο, κατά τη διάρκεια του διαγωνισμού Pwn2Own Vancouver 2023, οι ερευνητές κέρδισαν 1.035.000 δολάρια και ένα αυτοκίνητο Tesla Model 3 για την εκμετάλλευση 27 zero-day και αρκετές συγκρούσεις σφαλμάτων, μεταξύ 22 και 24 Μαρτίου.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.
