کارشناسان آسیب‌پذیری در مسابقات Pwn2Own موفق به نفوذ به تلفن‌های همراه هوشمند گلکسی S10 سامسونگ و Mi9 شیائومی شدند

مسابقات Pwn2Own، توکیو ۲۰۱۹، در روز دوم خود به پایان رسید و شکارچیان آسیب‌پذیری در این روز توانستند در مجموع ۱۲۰هزار دلار برای بهره‌برداری از آسیب‌پذیری‌های امنیتی موجود در تلفن‌های همراه هوشمند گلکسی S10 سامسونگ و Mi9 شیائومی و همچنین، مسیریاب‌های TP-Link AC1750 به‌دست آورند.

از میان ۷ رقابت برنامه‌ریزی‌شده برای روز دوم، چهار مورد از آن‌ها کاملاً موفقیت‌آمیز بود. آمات کاما و ریچارد ژو از تیم Fluoroacetate، توانستند برای اجرای یک فایل دلخواه بر روی گوشی گلکسی S10 سامسونگ پس از اتصال دستگاه به ایستگاه پایگاه مخرب خود، ۵۰هزار دلار به‌دست آورند. در پایان روز، آن‌ها از طریق مرورگر وب این تلفن همراه، اقدام به نفوذ به آن کردند، اما یک آسیب‌پذیری را که پیش از این توسط شرکت‌کننده‌ی قبلی استفاده شده بود، مورد بهره‌برداری قرار دادند. ژو و کاما طی دو روز، در مجموع ۱۹۵هزار دلار کسب کرده و توانستند برای سومین سال متوالی، به‌عنوان برنده‌ی مسابقات Pwn2Own اعلام شوند.

پدرو ریبریو و رادک دومانسکی نیز از تیم Flashback، به‌دلیل نفوذ به یک مسیریاب TP-Link AC1750 از طریق رابط WAN ، ۲۰هزار دلار به‌دست آوردند. همان مسیریاب توسط تیم آزمایشگاه F-Secure نیز هک شد که برای آن‌ها نیز، یک جایزه‌ی ۲۰هزار دلاری به همراه داشت. هر دو تیم موفق به اجرای کد دلخواه بر روی دستگاه موردنظر شدند.

تیم F-Secure همچنین ۳۰ هزار دلار برای بهره‌برداری از آسیب‌پذیری‌های موجود در تلفن همراه Mi9 شیائومی دریافت کرد. این تیم توانست یک آسیب‌پذیری تزریق اسکریپت از طریق وب‌سایت (XSS) موجود در مؤلفه‌ی NFC دستگاه را با هدف دسترسی به داده‌ها از طریق یک تگ ویژه‌ی NFC، مورد بهره‌برداری قرار دهد.

در مجموع، طی دو روز شرکت‌کنندگان در مسابقات Pwn2Own توانستند برای افشای ۱۸ آسیب‌پذیری مختلف، ۳۱۵ هزار به‌دست آورند. تمامی این آسیب‌پذیری‌ها به فروشندگان تحت تأثیر گزارش شده و به آن‌ها ۹۰ روز فرصت داده شده است تا این نقص‌های امنیتی را وصله كنند.

در روز اول این رویداد، شرکت‌کنندگان توانسته بودند در مجموع ۱۹۵هزار دلار برای نفوذ به تلویزیون‌های هوشمند سامسونگ و سونی، تلفن‌های همراه هوشمند گلکسی S10 سامسونگ و Mi9 شیائومی، مسیریاب‌های TP-Link و Netgear و همچنین، یک دستگاه Echo آمازون به‌دست آورند. در این میان، بهره‌برداری از آسیب‌پذیری‌های موجود در دستگاه Echo آمازون، ۶۰هزار دلار برای تیم Fluoroacetate به همراه داشته که بیشترین پاداش پرداخت‌شده در این رویداد محسوب می‌شود.

منبع

پست‌های مشابه

Leave a Comment