Hackerverseny: amikor semmi nem marad talpon

Számos érdekességgel szolgált a Tokióban megrendezett Pwn2Own hackerverseny. Sorban hullottak el az okostelefonok, okostévék, hálózati eszközök.
 

A Trend Micro Zero Day Initiative (ZDI) szervezésében megrendezett Pwn2Own hackerverseny mindig nagy érdeklődésre tart számot. A mostani megmérettetés elsősorban az okostelefonok, okostévék körül forgott, de szerephez jutottak hálózati eszközök is. A verseny célja, hogy minél több biztonsági problémára világítsanak rá a résztvevők, amelyeket aztán a ZDI megoszt a fejlesztőkkel, hogy minél hamarabb megoldás születhessen a sérülékenységekre. Eközben a résztvevők értékes jutalmakban részesülhetnek.

A kétnapos rendezvény első napján 10 támadást mutattak be a versenyzők, amelyek közül hét bizonyult sikeresnek és díjazhatónak. A Fluoroacetate nevű csapat két fehérkalapos hackere először egy Sony X800G TV-t kényszerített térde, miután egy JavaScript-kezelési hibát sikerült kihasználniuk az okostévé böngészőjében, és parancssoros felülethez jutottak. Ehhez nem kellett mást tenniük, mint a TV segítségével letölteni egy általuk speciálisan összeállított weboldalt. Ezt követően egy Xiaomi Mi9 okostelefonról sikerült egy képet kiszivárogtatniuk szintén egy weblapon keresztül. Végül pedig egy Samsung Galaxy S10-ről kaparintottak meg egy fényképet NFC-vel, bizonyítván az általuk feltárt, adatlopásra lehetőséget adó hiba létezését.

Az első napon a Flashback nevű csapat sikeresen meghackelt egy NETGEAR Nighthawk Smart WiFi routert LAN/WAN portokon keresztül, majd manipulálta az eszköz firmware-jét. Aztán a versenyzők egy TP-Link AC1750 Smart WiFi routert vettek a kezük közé, amelyeket az egyik LAN-porton keresztül támadtak sikeresen. 


A második felvonás

A második napon tovább folytatódott a tűzijáték. Hét sikeres támadást prezentáltak a résztvevők. A Fluoroacetate ismét hallatott magáról, és ezúttal egy hamis bázisállomáson keresztül sikerült egy fájlt mindenféle jogosultság nélkül feltölteniük egy Samsung S10-re. Eközben a TP-Link AC1750 router egy újabb Flashback támadás áldozatává vált, de ugyanezt a hálózati eszközt egy másik módszerrel az F-Secure csapata is sikeresen meghackelte. A F-Secure kutatói a Xiaomi Mi9 ellen még egyszer akcióztak, és egy NFC-sérülékenység kihasználásával adatokat szivárogtattak ki arról. 

Összegzés

A tokiói Pwn2Own szervezői összesen 315 dollár jutalmat osztottak ki 18 különböző - eddig ismeretlen - sebezhetőség felfedezéséért. A ZDI már eljuttatta a biztonsági rések leírását az érintett cégek számára, akiknek 90 napjuk van a frissítések elkészítésére, mielőtt nyilvánosságra kerülnek a sérülékenységek technikai részletei. 
Vélemények
 
  1. 4

    Az Apple Safari legújabb verziója négy biztonsági rést segít befoltozni.

  2. 4

    Az Apple iOS és az iPadOS 14-es kiadása biztonsági hibajavításokkal is szolgál.

  3. 2

    ​A WastedLocker zsaroló program nagy felfordulást képest okozni a számítógépeken, és biztonsági mentések hiányában akár helyreállíthatatlan károkat is előidézhet.

 
Partnerhírek
​Az ESET kutatói felfedezték a KryptoCibule-t

Egy korábban nem ismert rosszindulatú trójai szoftvercsaládot fedeztek fel az ESET kutatói, amely kártékony torrenteken keresztül terjedve többféle trükköt is bevet annak érdekében, hogy annyi kriptovalutától fossza meg áldozatait, amennyitől csak lehetséges – mindezt észrevétlenül.

Hogyan tehetjük biztonságosabbá a TikTok fiókunkat?

​A TikTok három évvel ezelőtt robbant be a köztudatba, azóta pedig töretlen népszerűségnek örvend, hiszen mára a második legnépszerűbb social média platformmá nőtte ki magát.

hirdetés
Közösség