Nylig ble den store Pwn2Own-konkurransen avholdt, hvor sikkerhetsforskere fra hele verden samler seg for å utvikle «exploit»-programvare for en rekke ulike forbrukerprodukter og teknologi. Konkurransen arrangeres av sikkerhetsselskapet Trend Micros Zero Day Initiative.
Vant 1,8 millioner kroner
De to sikkerhetsforskerne som gikk til topps denne gangen, Amat Cama og Richard Zhu («Fluoroacetate»), stakk av med til sammen 195 000 dollar, cirka 1,8 millioner kroner – for å ha klart å hacke flere ulike forbrukerprodukter.
Blant de mest innbringende bragdene for de to sikkerhetsforskerne var hackingen av Samsungs flaggskipmobil Galaxy 10 – noe de gjorde hele to ganger.
I det ene forsøket koblet hackerne seg til mobilen ved hjelp av en basestasjon og utførte et «stack overflow»-angrep som ble brukt til å plante kode på mobilen – kode som i et reellt tilfelle kunne vært skadevare.
I en annen vellykket demonstrasjon ble S10 sin NFC-teknologi brukt til å utføre et angrep. Forskerne utnyttet en feil i JavaScript JIT fulgt av en såkalt «use after free»-teknikk til å unnslippe sandkassen og stjele et bildet fra telefonen – kun med ett trykk.
Hacket også Amazons smartskjerm
De to Galaxy S10-angrepene ga alene en belønning på solide 80 000 dollar, cirka 730 000 kroner. Hackerne brukte også en JavaScript-bug til å hente ut et bilde fra en Xiaomi Mi9-mobil, noe som ga en belønning på 20 000 dollar.
Amat Cama og Richard Zhu demonstrerte også et angrep på Amazons Alexa-baserte smartskjerm Echo Show 5. Ved hjelp av et «integer overflow»-angrep klarte hackerne å ta full kontroll over smartskjermen, noe som ga en dusør på 60 000 dollar – 550 000 kroner.
I tillegg hacket Fluoroacetate-duoen også TV-modellen Sony X800G, som markerer første gangen at TV-hacking er blitt demonstrert på Pwn2Own-konkurransen.
Til sammen ble det under Pwn2Own delt ut 315 000 dollar for avdekkingen av totalt 18 feil i de ulike produktene. Produsenter skal ha mottatt detaljene om feilene og har nå 90 dager på seg til å få fiksene på plass. Flere detaljer finner du hos Zero Day Initiative.
Les også: Lyktes å hacke iPhone X over trådløst nettverk og stakk av med milliondusør »