На Pwn2Own 2019 Токіо за два дні змагань “зламали” пристрої Amazon Echo, Xiaomi Mi9 та Galaxy S10. Хакери заробили $ 315 тисяч, загальний фонд призових заходу – $ 750 тисяч.
Про усі знайдені уразливості одразу повідомили виробників. На виправлення проблем їм відведений термін в 90 днів.
Організатором Pwn2Own є Trend Micro Zero Day Initiative (ZDI). Найбільшу суму за підсумками двох днів ($ 195 тис.) виграла добре відома з минулих змагань команда Fluoroacetate в складі двох осіб. За підсумками двох днів Pwn2Own Fluoroacetate стала чемпіоном вже втретє поспіль.
У перший день змагань учасники Pwn2Own заробили $ 195 тис. за експлуатацію уразливостей в смарт-телевізорах, маршрутизаторах і смартфонах. Для зламу їм було надано 17 різних пристроїв, в тому числі “розумний” дисплей Portal і шолом віртуальної реальності Oculus Quest від Facebook. Обидва ці пристрої брали участь в Pwn2Own вперше.
Учасники змагань здійснили 10 спроб зламу, і більшість з них виявилися успішними. Команді Fluoroacetate вдалося зламати смарт-телевізори Sony X800G і Samsung Q60, “розумну” аудіоколонку Amazon Echo і смартфон Xiaomi Mi9, а також викрасти зображення з Samsung Galaxy S10 через NFC.
Команда Flashback зламала “розумні” маршрутизатори NETGEAR Nighthawk Smart WiFi Router (R6700) і TP-Link AC1750 Smart WiFi Router. Команда F-Secure Labs спробувала зламати маршрутизатор TP-Link і смартфон Xiaomi Mi9, проте спроби виявилися успішними тільки частково.
У другий день змагань учасники Fluoroacetate змогли виконати довільний код на Samsung Galaxy S10, за що отримали $ 50 тис. Команди Flashback і F-Secure Labs зламали маршрутизатор TP-Link AC1750, отримавши $ 20 тис. кожна. У другий день F-Secure Labs все-таки вдалося зламати Xiaomi Mi9 і заробити $ 30 тис.
Нагадаємо, популярна клавіатура для Android під назвою Ai.type, що має понад 40 мільйонів завантажень, містила в собі шкідливий код. Троян, прихований в додатку, займався просуванням інших додатків, демонстрацією реклами та відвідуванням різнопланових сайтів, на яких іноді оформляв підписки на платні послуги.
Окрім цього, Mozilla планує заблокувати повідомлення з проханням надсилати сповіщення сайтів за замовчуванням у Firefox. Google також може невдовзі це заблокувати у Chrome.
Також дедалі популярнішим у кіберзлочинців стає новий спосіб шахрайства, що дозволяє “обчищати” банківські рахунки користувачів Amazon. Потай від жертви зловмисники підключають до її облікового запису смарт-телевізор, який не відображається в звичайних налаштуваннях і який не може видалити навіть команда техпідтримки Amazon.
Зверніть увагу, дії в Інтернеті передбачають обмін певною особистою інформацією чи конфіденційними даними, які у разі вашої неуважності можуть опинитися в руках зловмисників. Для забезпечення захисту Ваших персональних даних під час роботи в Інтернет-мережі дотримуйтесь основних правил кібергігієни.
