Facebook
Amazon Echo altoparlanti, Samsung e Sony smart Tv, Xiaomi Mi9 telefono, e Netgear e TP-Link router sono stati violati il primo giorno di hacking Pwn2Own contest.
La seconda e ultima giornata sarà presto in corso, e sembra che Google Nido telecamere e Facebook Portale mozzi sopravvivono al concorso di quest’anno indenne, come no i ricercatori di sicurezza hanno annunciato l’intenzione di tentare un exploit più tardi di oggi.
Pwn2Own e come funziona
L’hacking Pwn2Own contest si terrà questa settimana a Tokyo, in Giappone. Si tratta di uno dei due hacking Pwn2Own competizioni che si svolgono ogni anno.
Il primo si svolge in primavera in Nord America e si concentra esclusivamente su hacking browser, sistemi operativi, server, la tecnologia e le macchine virtuali.
La seconda, che si tiene ogni autunno a Tokyo, si concentra sulle tecnologie mobili, e l’anno scorso era la prima volta che Pwn2Own organizzatori ampliato la caduta edizione a includere anche la casa intelligente dispositivi.
Il concorso va da un semplice insieme di leggi. Gli organizzatori di pubblicare ogni anno un elenco di obiettivi per ciascuna delle due edizioni, con mesi di anticipo.
I ricercatori di sicurezza che vogliono partecipare passano il loro tempo a sondare i dispositivi per la vulnerabilità che potrebbe essere sfruttata durante la competizione.
Una volta che il concorso inizia, le regole sono semplici. I ricercatori scegliere un dispositivo di destinazione e la distribuzione di un exploit. Se l’attacco ha successo e si prende il dispositivo, i ricercatori di vincere un premio in denaro e punti per una classifica generale.
Tutti i bug e exploit utilizzati durante la gara vengono consegnati al organizzatori, che poi denunciarli ai rispettivi fornitori.
Il concetto è semplice ed è quello che ha contribuito a rendere il Pwn2Own devono partecipare hacker concorso in tutto il mondo. L’evento riceve spesso enorme sponsorizzazioni da parte di molti fornitori, la cui dispositivi sono elencati come bersagli, e molte aziende inviare rappresentanti a concorso per raccogliere le segnalazioni di bug in persona e li hanno fissati entro poche ore o giorni.
Facebook Portale sopravvive
L’anno scorso, durante il primo Pwn2Own edizione che ha consentito di casa intelligente dispositivi, gli organizzatori lasciate che i ricercatori di sicurezza di andare dopo Watch Apple, Amazon Echo, di Casa Google, Amazon Cloud Cam, e Nido camme.
Questo anno, la mela, l’occhio di tutti è stato senza dubbio Facebook Portale sistema di home automation.
Lanciato nel novembre 2018, pochi giorni dopo il Pwn2Own Tokyo 2018-ha concluso il infosec comunità è stata in attesa di vedere come il dispositivo sarebbe costato il volto della top di oggi gli hacker.
La risposta è arrivata oggi, quando gli organizzatori del concorso pubblicato il primo giorno e il secondo giorno prossime sessioni di hacking.
I risultati? Nessuno voleva un pezzo di Facebook del Portale, e non volevano hack principale di Google assistente.
I ricercatori di sicurezza che ha scelto di andare dopo gli obiettivi più semplici, come i router e smart Tv, noto per l’esecuzione di più debole del firmware rispetto a quello che ci si trova di solito su una smart speaker o home automation hub.
Tuttavia, in una svolta sorprendente di eventi, uno smart speaker ha fatto cadere per gli hacker. Tuttavia, questi non erano solo qualsiasi ricercatori di sicurezza. Erano Team Fluoroacetate, fatto di Amat Cama e Richard Zhu, i vincitori delle ultime due Pwn2Own concorsi — a Marzo 2019 e novembre 2018 — e attualmente considerati tra i migliori al mondo hacker.
Il duo non solo hack Amazon Echo, ma anche con successo hacked Sony e Samsung smart Tv, e Xiaomi Mi9 smartphone, prendendo un comodo vantaggio, e sono ora attesi per vincere il suo terzo torneo di fila.
Di seguito la lista di quest’anno, i dispositivi di destinazione, i risultati della prima giornata e il programma per il secondo giorno (che verrà aggiornato nelle prossime ore con i risultati che arrivano).
Quest’anno gli obiettivi
Portatili:
Xiaomi Mi 9
– Samsung Galaxy S10
– Huawei P30
– Google Pixel 3 XL
– Apple iPhone XS Max
– Oppo F11 Pro
Wearables:
– Apple Watch Serie 4
– Oculus Quest (64Gb)
Domotica:
– Portale Facebook
– Amazon Echo Mostra 5
– Google Nido Hub Max
– Amazon Cloud Cam Telecamera Di Sicurezza
– Nido Cam IQ Interna
Televisori:
– Sony X800G Serie – 43″
– Samsung Q60 Serie – 43″
Router:
– TP-Link AC1750 Smart WiFi Router
– NETGEAR Nighthawk Smart WiFi Router (R6700)
Giorno risultati
09:00 – Amat Cama e Richard Zhu (fluoroacetate) per il Sony X800G nella categoria Televisione
SUCCESSO – Il Fluoroacetate duo usare un Javascript OOB Leggere bug di sfruttare la televisione built-in del browser web per ottenere un bind shell dalla TV. Hanno guadagnato $15K e 2 Master di Pwn punti.
10:00 – Pedro Ribeiro e Radek Domanski (Team Flashback) per il NETGEAR Nighthawk Smart WiFi Router (R6700) (interfaccia LAN) del Router categoria
SUCCESSO – Il Flashback team ha utilizzato un auth bypass seguita da uno stack-based buffer overflow per ottenere una shell del router. Hanno guadagnato $5,000 e 5 punti per il Master del Nematode del pino.
11:00 – Amat Cama e Richard Zhu (fluoroacetate) per il Amazon Echo in domotica categoria
SUCCESSO – Il Fluoroacetate duo usato un integer overflow in JavaScript compromettere il dispositivo e prendere il controllo. Hanno guadagnato $60.000 e 6 Master di Pwn punti.
12:00 – Amat Cama e Richard Zhu (fluoroacetate) per il Samsung Q60 nella categoria Televisione
SUCCESSO – Richard Zhu e Amat Cama hanno continuato la loro giornata di successo utilizzando un integer overflow in JavaScript per ottenere una reverse shell per Samsung Q60 televisione. Hanno guadagnato altri $15.000 USD e 2 Master di Pwn punti.
13:00 – Amat Cama e Richard Zhu (fluoroacetate) per il Xiaomi Mi9 nel Browser Web categoria
SUCCESSO – Amat Cama e Richard Zhu di Fluoroacetate usare un JavaScript bug che è saltato lo stack di sottrarre una foto da Xiaomi Mi9. Hanno guadagnato $20.000 dollari, e altri 2 Master di Pwn punti.
14:00 – Pedro Ribeiro e Radek Domanski (Team Flashback) per il NETGEAR Nighthawk Smart WiFi Router (R6700) (interfaccia WAN) nella categoria Router
SUCCESSO – Il Flashback squadra di Pedro Ribeiro e Radek Domanski sono stati in grado di modificare in remoto del firmware del router tali che il loro payload persistente tra un reset di fabbrica. Hanno guadagnato $20K e 1 Master di Pwn punto.
15:00 – Pedro Ribeiro e Radek Domanski (Team Flashback) per il TP-Link AC1750 Smart Router wi-Fi (LAN interfaccia) nella categoria Router
SUCCESSO – Nel loro ultimo tentativo del giorno, Pedro Ribeiro e Radek Domanski (Team Flashback) utilizzare una combinazione di 3 bug di partenza con comando di iniezione per ottenere il loro codice in esecuzione sul router. Hanno guadagnato $5.000 e .5 Master di Pwn punti. Che porta il loro giorno di totale a $30.000.
16:00 – Mark Barnes, Toby Drew, Max Van Amerongen, e James Loureiro (FSecureLabs) per il TP-Link AC1750 Smart Router wi-Fi (LAN interfaccia) nella categoria Router
PARZIALE – Nel primo bug di collisione di questo Pwn2Own, il tentativo riuscito da parte di F-SecureLabs si rivelasse hanno utilizzato alcuni bug, come un precedente concorrente. Ancora qualificato come una parziale vittoria, ma nessun Maestro del Nematode del pino, vengono assegnati dei punti.
17:00 – Amat Cama e Richard Zhu (fluoroacetate) per il Samsung Galaxy S10 a Breve Distanza di categoria
SUCCESSO – Il Fluoroacetate duo usato un bug in JavaScript JIT seguita da Utilizzare Dopo la Connessione (UAF) per sfuggire alla sandbox per afferrare una foto di Samsung Galaxy S10 via NFC. La loro voce finale per il primo Giorno li guadagna $30.000 e 3 Master di Pwn punti.
Giorno Due di pianificazione
10:00 – Amat Cama e Richard Zhu (fluoroacetate) targeting l’ Oppo F11 Pro in Banda base categoria
11:00 – Amat Cama e Richard Zhu (fluoroacetate) per il Samsung Galaxy S10 in Banda base categoria
12:00 – Amat Cama e Richard Zhu (fluoroacetate) per il NETGEAR Nighthawk Smart WiFi Router R6700 (interfaccia LAN) del Router categoria
13:00 – Pedro Ribeiro e Radek Domanski (Team Flashback) per il TP-Link AC1750 Smart WiFi Router (WAN interface) nella categoria Router
14:00 – Mark Barnes, Toby Drew, Max Van Amerongen, e James Loureiro (FSecureLabs) per il TP-Link AC1750 Smart WiFi Router (WAN interface) nella categoria Router
15:00 – Mark Barnes, Toby Drew, Max Van Amerongen, e James Loureiro (FSecureLabs) per il Xiaomi Mi9 NFC componente a Breve Distanza di categoria
16:00 – Amat Cama e Richard Zhu (fluoroacetate) per il Samsung Galaxy S10 nel Browser Web categoria
Sicurezza
Uno sguardo all’interno di WP-VCD, oggi il più grande WordPress operazione di hacking
Dobbiamo smettere di sorridere il nostro cammino verso un sistema di sorveglianza dello stato
BlueKeep attacchi stanno accadendo, ma non è un verme
Perché hai bisogno di pensare alla sicurezza della catena di approvvigionamento (ZDNet YouTube)
Migliore di sicurezza domestica del 2019: monitoraggio Professionale e fai da te (CNET)
A due passi si dovrebbe prendere per proteggere la vostra rete da hacker (TechRepublic)
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati