Anul trecut, în timpul evenimentului de hacking Pwn2Own din Austin, Texas, Samsung Galaxy S21 a fost spart nu o dată, ci de două ori în doar 48 de ore. Anul acesta, la competiția Pwn2Own din Toronto, Canada, echipele de hacking de elită au mers mai bine. Smartphone-ul emblematic Galaxy S22 a fost spart de hackerii Zero-Day de două ori în aceeași zi. Dar acesta este un lucru bun, deoarece înseamnă că Samsung poate rezolva acum problemele înainte ca actori rău intenționați să poată atenta la aceste modele.
Dar, ce e este Pwn2Own? Evenimentul de hacking Pwn2Own este operat de Zero-Day Initiative de la Trend Micro. Evenimentul, lansat în 2005, adună unele dintre cele mai bune echipe de hacking din lume pentru a exploata diverse dispozitive folosind vulnerabilități „zero-day” necunoscute anterior. Acești vânători de recompense și cercetători de securitate de elită concurează contra cronometru între ei pentru a exploata cu succes, sau a pune în funcțiune, dispozitivele pentru recompense financiare considerabile.
Problemele rezolvate sau descoperite de „hackerii” profesioniști aici nu sunt făcute publice. În schimb, producătorilor de dispozitive, în acest caz Samsung, li se oferă detaliile necesare pentru lansarea unui patch pentru a remedia problema. Acest lucru trebuie făcut rapid, înainte ca problemele descoperite să poată fi exploatate de atacatori.
Samsung Galaxy S22 spart, de două ori în 24 de ore de „hackeri”
Competiția de hacking Pwn2Own Toronto 2022 este la cea de-a 10-a aniversare. Evenimentul din acest an are șapte categorii diferite pentru concurenți și peste 1.000.000$ în premii. Este vorba despre categorii cum ar fi:
- Telefoane mobile
- Routere wireless
- Hub-uri de automatizare a locuinței
- Imprimante
- Difuzoare inteligente
- Dispozitive NAS (Network Attached Storage)
- The SOHO Smashup (small office/home office)
Cu SOHO Smashup este simulat un scenariu de birou mic/birou de acasă (SOHO), cu scopul de a pirata un router pe interfața WAN și apoi pivotarea către LAN. Aici un al doilea dispozitiv este piratat (un dispozitiv NAS), un difuzor inteligent sau o imprimantă.
Echipa STAR Labs, care a decodificat pe Galaxy S22, a avut nevoie de trei încercări, a treia a fost norocoasă. Hackerii au reușit să execute un atac de validare a intrărilor necorespunzătoare împotriva unui Samsung Galaxy S22 care rula cel mai recent sistem de operare și firmware și avea cele mai noi corecții de securitate. Deoarece aceasta a fost prima echipă care a reușit să exploateze o vulnerabilitate zero-day pentru un smartphone, a primit un premiu de 50.000 USD.
În doar câteva ore, o altă echipă Chim a prezentat un alt „succes” împotriva dispozitivului emblematic Samsung. Acesta a fost un alt atac de validare a intrărilor necorespunzătoare, dar pentru că a venit după primul, echipa a primit doar un premiu de 25.000$.
Specialiștii în IT de la Forbes, au contactat Samsung pentru o declarație cu privire la aceste situații. Ei au cerut companiei să estimeze un interval de timp pentru ca un patch de securitate să fie lansat pentru aceste vulnerabilități. Momentan nu au primit niciun răspuns.