Hacker che partecipano alla Pwn2Own, competizione annuale che incoraggia la scoperta responsabile delle vulnerabilità, sono riusciti a individuare vulnerabilità e prendere di mira Apple iPhone X, Samsung Galaxy S9 e Xiaomi Mi nel primo giorno nel contesto della conferenza sulla sicurezza PacSec che si svolge a Tokyo (Giappone).
Il team denominato “Fluoroacetate” composto da Amat Cama e Richard Zhu ha mostrato l’hacking di uno Xiaomi Mi 6 usando un exploit (un codice che sfrutta una vulnerabilità di un sistema permettendo l’esecuzione di un potenziale codice malevolo) legato all’NFC.
Stando a quanto riportato da Zero Day Initiative (ZDI), gli organizzatori dell’evento Pwn2Own, i due hanno sfruttato un bug che consente di superare limiti del WebAssembly ottenendo l’esecuzione del codice mediante NFC. I ricercatori che hanno dimostrato la vulnerabilità hanno portato a casa 30.000$.
MWR Labs, un team del Regno Unito, ha guadagnato altri 30.000$ riuscendo a dimostrare l’hacking di uno Xiaomi Mi 6. Sono stati necessari due tentativi ma è stata dimostrata la possibilità di eseguire codice che sfrutta una vulnerabilità legata alla WiFi e ottenere una foto infiltrandosi nel telefono-target. Stando a quanto riporta ZDI, l’exploit ha a che fare con 5 diversi bug logici, incluso uno che consente l’installazione silenziosa di un’app tramite JavaScript.
Il team di MWR Labs ha anche dimostrato un exploit sul Samsung Galaxy S9. Gli hacker “white hat” (che operano allo scopo di aiutare le aziende a prendere coscienza di un problema di sicurezza), hanno dimostrato la possibilità di hackerare un “captive portal” (una pagina web che viene mostrata agli utenti di una rete quando tentano di connettersi a Internet mediante una richiesta da un browser), senza bisogno dell’interazione dell’utente e obbligando quest’ultimo a caricare un’applicazione non-sicura che esegue codice sul telefono, una dimostrazione che ha consentito al gruppo di guadagnare 30.000$.
Il team “Fluoroacetate” ha anche dimostrato l’esecuzione di codice con un exploit sul Samsung Galaxy S9. L’exploit è legato all’heap overflow (una condizione di errore che avviene in una particolare area dati che si occupa dell’allocazione di memoria) di componenti della baseband, permettendo agli hacker di portare a casa altri 50.000$.
Lo stesso team ha anche dimostrato una vulnerabilità di iPhone X sulle reti WiFi sfruttando un bug nel compilatore Just-In-Time (JIT) e una falla nella scrittura out-of-bounds. La dimostrazione ha consentito al gruppo di guadagnare 60.000$.
Michael Contreras, un ricercatore specializzato in sicurezza, ha ottenuto 25.000$ per essere riuscito ad “hackerare” il browser dello Xiaomi Mi 6 sfruttando una falla in JavaScript che ha consentito l’esecuzione di codice.
Nel primo giorno dell’evento i partecipanti all’evento Pwn2Own di Tokyo hanno guadagnato un totale di 225.000$. Nel secondo giorno i gruppi Fluoroacetate e MWR Labs tenteranno di dimostrare nuovi hack su iPhone X e Xiaomi Mi 6.
Nella gara di quest’anno sono comprese anche dispositivi legati all’IoT quali Apple Watch, Amazon Echo, Google Home, Amazon Cloud Cam e la Nest Cam IQ. I premi per la dimostrazione di hack legati a questi dispositivi variano dai 40.000$ ai 60.000$ ma al momento non sono stati presentati exploit. Altri dispositivi che gli hacker tenteranno quest’anno di prendere di mira, sono: Huawei P20 a Google Pixel 2.
