Samsung Galaxy S10 và Xiaomi Mi9 bị hack thành công tại Pwn2Own

Samsung Galaxy S10 và Xiaomi Mi9 bị hack thành công tại Pwn2Own

November 11, 2019 | vietsunshine

Pwn2Own Tokyo 2019 đã kết thúc và vào ngày thứ hai của cuộc thi hack, các thợ săn tiền thưởng đã kiếm được tổng cộng 120.000 đô la cho các khai thác đối với Samsung Galaxy S10, Xiaomi Mi9 và bộ định tuyến TP-Link AC1750.

Trong bảy nỗ lực hack được lên kế hoạch cho ngày thứ hai, bốn là thành công hoàn toàn. Amat Cama và Richard Zhu của nhóm Fluoroacetate đã kiếm được 50.000 đô la khi đẩy một tập tin tùy ý lên Samsung Galaxy S10 sau khi thiết bị kết nối với trạm gốc giả mạo của họ. Vào cuối ngày, họ đã thực hiện một nỗ lực thứ hai để hack Galaxy S10, thông qua trình duyệt web của nó, nhưng họ đã khai thác một lỗ hổng đã được sử dụng bởi một thí sinh trước đó.

Zhu và Cama đã kiếm được tổng cộng 195.000 đô la trong hai ngày của Pwn2Own và họ đã được tuyên bố là người chiến thắng trong năm thứ ba liên tiếp.

Pedro Ribeiro và Radek Domanski của Team Flashback đã kiếm được 20.000 đô la khi hack bộ định tuyến TP-Link AC1750 thông qua giao diện WAN của nó. Bộ định tuyến tương tự cũng đã bị nhóm F-Secure Labs hack, cũng kiếm được 20.000 đô la. Cả hai đội đã managed để đạt được thực thi mã tùy ý trên thiết bị.

Nhóm F-Secure cũng nhận được 30.000 USD cho một  khai thác nhắm vào điện thoại Xiaomi Mi9. Họ đã khai thác lỗ hổng kịch bản chéo trang (XSS) trong thành phần NFC của thiết bị để trích xuất dữ liệu chỉ bằng cách chạm vào thẻ NFC được chế tạo đặc biệt.

Tổng cộng, trong hai ngày, các thí sinh của Pwn2Own đã nhận được $ 315,000 vì tiết lộ 18 lỗ hổng khác nhau, tất cả đều được báo cáo cho các nhà cung cấp bị ảnh hưởng. Họ đã được đưa ra 90 ngày để vá các lỗi bảo mật.

Vào ngày đầu tiên của sự kiện, những người tham gia đã mang về nhà tổng cộng 195.000 đô la sau khi hack TV thông minh của Samsung và Sony, điện thoại Galaxy S10 và Mi9, bộ định tuyến TP-Link và Netgear và Amazon Echo. Khai thác Amazon Echo mang về cho Fluoroacetate 60.000 đô la, đây là cho khoản thanh toán lớn nhất cho một lần khai thác.

Nguồn: Bug Hunters Hack Samsung Galaxy S10, Xiaomi Mi9 at Pwn2Own

Tags: , ,