На Pwn2Own взломали Samsung Galaxy S10, Xiaomi Mi9, Amazon Echo и не только
Подошло к концу соревнование Pwn2Own Tokyo 2019, традиционно проходившее в рамках конференции PacSec и организуемое Trend Micro Zero Day Initiative (ZDI). Это одно из двух ежегодных хакерских соревнований Pwn2Own. Первое проводится весной в Северной Америке и сосредоточено исключительно на взломе браузеров, операционных систем, серверных решений и виртуальных машин. Второе проводится осенью в Токио и посвящено мобильным технологиям. К тому же в прошлом году организаторы Pwn2Own впервые расширили осенний этап, включив в него IoT-устройства для умного дома.
В этом году призовой фонд соревнования составил 750 000 долларов, а список целей для Pwn2Own Tokyo выглядел следующим образом.
Смартфоны:
- Xiaomi Mi 9
- Samsung Galaxy S10
- Huawei P30
- Google Pixel 3 XL
- Apple iPhone XS Max
- Oppo F11 Pro
Носимые устройства:
- Apple Watch Series 4
- Oculus Quest (64Gb)
Домашняя автоматизация:
- Portal от Facebook
- Amazon Echo Show 5
- Google Nest Hub Max
- Amazon Cloud Cam Security Camera
- Nest Cam IQ Indoor
Телевизоры:
- Sony X800G Series - 43"
- Samsung Q60 Series – 43"
Роутеры:
- TP-Link AC1750 Smart WiFi Router
- NETGEAR Nighthawk Smart WiFi Router (R6700)
В первый день соревнований себя показала команда Fluoroacetate, в состав которой входят Амат Кама (Amat Cama) и Ричард Чжу (Richard Zhu). Эта команда победила в двух последних соревнованиях Pwn2Own (в марте 2019 и ноябре 2018 года) и в настоящее время Кама и Чжу считаются одними из лучших хакеров в мире и наиболее результативными участниками Pwn2Own. В этом году эксперты успешно скомпрометировали колонку Amazon Echo, а также успешно взломали смарт-телевизоры Sony и Samsung, и смартфон Xiaomi Mi9.
В итоге Fluoroacetate заработали 15 000 долларов за взлом телевизора Sony X800G, выполненный через JavaScript out-of-bounds ошибку чтения во встроенном браузере. Злоумышленник может воспользоваться этим багом, чтобы получить шелл на устройстве, убедив жертву посетить вредоносный сайт через встроенный браузер телевизора.
Та же команда заработала еще 60 000 долларов за перехват контроля над устройством Amazon Echo, который был осуществлен посредством целочисленного переполнения. Еще 15 000 долларов принесло получение обратного шелла на телевизоре Samsung Q60, тоже реализованное через целочисленное переполнение.
Помимо этого Кама и Чжу заработали 20 000 долларов, когда смогли извлечь изображение со смартфона Xiaomi Mi9, просто перейдя на специально созданный сайт. Еще 30 000 долларов они получили за похищение изображения с Samsung Galaxy S10 через NFC.
Также в первый день неплохо поработала команда Team Flashback, в которую вошли Педро Рибейро (Pedro Ribeiro) и Радек Домански (Radek Domanski). Им удалось перехватить контроль над маршрутизатором NETGEAR Nighthawk Smart WiFi (R6700) через LAN-интерфейс, заработав 5000 долларов. Еще 20 000 долларов команде принес взлом того же маршрутизатора через интерфейс WAN и удаленное изменение его прошивки, что позволило получить устойчивое присутствие на устройстве, которое выдерживает даже сброс к заводским настройкам.
Педро Рибейро Team Flashback
Помимо этого Team Flashback получила 5000 долларов за цепочку эксплоитов, позволяющую выполнить код на маршрутизаторе TP-Link AC1750 Smart WiFi через интерфейс LAN.
Последняя команда представляла F-Secure Labs и пыталась взломать маршрутизатор TP-Link и смартфон Xiaomi Mi9. Обе попытки оказались успешными лишь частично, но все равно заработали принесли хакерам 20 000 долларов. Специалисты продемонстрировали, что могут извлечь фотографию со смартфона Xiaomi, но некоторые из уязвимостей, которые они использовали, были уже известны производителю.
Во второй день соревнований из семи запланированных попыток взлома четыре были полностью успешными.
Лучше всего опять была команда Fluoroacetate, заработавшая 50 000 долларов за загрузку произвольного файла на Samsung Galaxy S10 (через подключение устройства к их мошеннической базовой станции). Также Кама и Чжу предприняли вторую попытку взломать Galaxy S10 через браузер, но они использовали уязвимость, которая уже применялась предыдущим участником.
В итоге Чжу и Кама заработали в общей сложности 195 000 долларов за два дня Pwn2Own, и в третий раз подряд были объявлены победителями соревнования, удостоившись звания Master of Pwn.
Рибейро и Домански из Team Flashback заработали 20 000 долларов за взлом маршрутизатора TP-Link AC1750 через WAN-интерфейс. Тот же маршрутизатор был взломан командой F-Secure Labs, которая также заработала 20 000 долларов. Обе команды смогли добиться выполнения произвольного кода на устройстве.
Команда F-Secure также получила 30 000 долларов за эксплоит, нацеленный на Xiaomi Mi9. Они использовали XSS-уязвимость в компоненте NFC для извлечения данных простым прикосновением к специально созданному NFC-тегу.
В общей сложности за два дня участники Pwn2Own смогли заработать 315 000 долларов за эксплуатацию 18 различных уязвимостей, и все они уже были раскрыты производителям. Теперь у вендоров есть 90 дней на исправление недостатков.
