در اولین روز مسابقات Pwn2Own، توکیو ۲۰۱۹، که این روزها در کنار کنفرانس PacSec برگزار میشود، هکرهای کلاه سفید توانستند با کشف آسیبپذیریهای موجود در تلویزیونها، مسیریابها و تلفنهای هوشمند، در مجموع ۱۹۵هزار دلار بهدست آورند. در این رویداد که توسط مؤسسهی امنیتی ZDI، یکی از بخشهای زیرمجموعه و وابسته به شرکت مطرح امنیتی ترند میکرو برگزار میشود، بیش از ۷۵۰هزار دلار در قالب پول نقد و جوایز مختلف برای بهرهبرداری از اشکالهای امنیتی موجود در ۱۷ دستگاه در نظر گرفته شده است.
این اولین سری از مسابقات Pwn2Own است که از هکرها برای شناسایی حفرههای امنیتی موجود در صفحه نمایش هوشمند Portal و هدست واقعیت مجازی Oculus Quest فیسبوک دعوت شدهاند. شرکتکنندگان در روز اول این مسابقات در ۱۰ رقابت و در روز دوم، در ۷ رقابت شرکت کردند.
به گفتهی مؤسسهی امنیتی ZDI، آمات کاما و ریچارد ژو از تیم Fluoroacetate توانستند برای نفوذ به تلویزیون سونی، مدل X800G، با بهرهبرداری از یک آسیبپذیری «خواندن خارج از محدوده جاوااسکریپت» موجود در مرورگر وب داخلی آن، ۱۵هزار دلار کسب کنند. مهاجم میتواند با متقاعدکردن کاربر هدف برای بازدید از یک وبسایت مخرب توسط مرورگر داخلی تلویزیون، از این نقص برای گرفتن شِل بر روی دستگاه بهرهبرداری کند. همچنین، همین تیم ۶۰هزار دلار برای بهدست آوردن کنترل یک دستگاه Echo آمازون، از طریق بهرهبرداری از یک اشکال سرریز عدد صحیح و ۱۵هزار دلار نیز برای گرفتن یک شِل معکوس بر روی تلویزیون مدل Q60 سامسونگ، آن هم از طریق بهرهبرداری از یک اشکال سرریز عدد صحیح، دریافت کرده است.
کاما و ژو همچنین با مدیریت گرفتن یک تصویر از تلفن همراه هوشمند Mi9 شیائومی با مرور در یک وبسایت طراحیشده، ۲۰هزار دلار کسب کردند. آنها همچنین توانستند ۳۰هزار دلار برای سرقت یک تصویر از تلفن همراه هوشمند گلکسی S10 سامسونگ از طریق NFC بهدست آورند.
از سوی دیگر، پدرو ریبریو و رادک دومانسکی از تیم Flashback، توانستند ۵ هزار دلار برای بهدست گرفتن کنترل یک مسیریاب NETGEAR Nighthawk Smart WiFi (R6700) از طریق رابط LAN، و ۲۰هزار دلار نیز برای نفوذ به همان مسیریاب بر روی رابط WAN و تغییر از راه دور ثابتافزار آن بهمنظور تنظیم مجدد کارخانه، دریافت کنند. تیم Flashback همچنین ۵ هزار دلار برای بهرهبرداری از یک آسیبپذیری اجرای كد در مسیریاب TP-Link AC1750 Smart WiFi از طریق رابط LAN بهدست آورد.
آخرین تیم نیز نمایندگانی از آزمایشگاه F-Secure بودند و سعی در نفوذ به یک مسیریاب TP-Link و تلفن همراه Mi9 شیائومی داشتند. آنها توانستند ۲۰هزار دلار برای گرفتن یک تصویر از تلفن همراه شیائومی بهدست آورند. بااینحال، تلاشهای این گروه فقط تا حدودی موفقیتآمیز بود، چراکه برخی از اشکالات کشفشده توسط آنها، قبلاً برای فروشنده شناخته شده بود.
