Podczas tegorocznej imprezy Pwn2Own, która odbywała się w Tokio w Japonii, hakerzy mieli za zadanie złamać zabezpieczenia kilku topowych smartfonów. Jako cel ataku dano im iPhone X, Samsunga Galaxy S9 oraz Xiaomi Mi6.

Podczas imprezy udało się zidentyfikować  i wykorzystać 18 luk zero-day a następnie przejąć kontrolę nad wszystkim „testowymi” telefonami.

  • W przypadku Samsung Galaxy S9 zespół  Fluoroacetate wykorzystał lukę Baseband i poprzez wywołanie błędu pamięci przejął kontrolę nad telefonem. Z kolei zespół MWR Labs z firmy F-Secure wykorzystał trzy inne błędy telefonu i wgrał przez WIFI złośliwy kod.
  • W iPhone X wykorzystano lukę JIT w przeglądarce, żeby wywołać błąd pamięci i wykonać złośliwy kod a następnie wyciągnąć krytyczne dane z urządzenia.
  • W Xiaomi Mi6 udało się 5 ataków. Poprzez lukę w zabezpieczeniach Javascript udało się wgrać złośliwą aplikację i wyciągnąć z telefonu zdjęcia.

Idea konkursu Pwn2Own Zero Day Initiative jest taka, żeby identyfikować luki w popularnych programach, urządzeniach i systemach operacyjnych. Producenci sprzętu są od razu informowani o wykrytych problemach z zabezpieczeniami swoich produktów i mają 90 dni na wprowadzenie niezbędnych poprawek.  Suma nagród w konkursie wyniosła 325 tys Dolarów a zwycięski Team Fluoroacetate zebrał z tej kwoty 215 tys USD.

Więcej informacji na stronie wydarzenia: https://www.zerodayinitiative.com/blog/2018/11/14/pwn2own-tokyo-2018-day-two-results-and-master-of-pwn