Pwn2Own 2019 volge al termine: oltre 315.000 dollari distribuiti ai concorrenti

08 Novembre 2019 17

Pwn2Own 2019 giunge al termine: nel secondo giorno gli hacker hanno scovato ulteriori bug in alcuni dei dispositivi di cui abbiamo già parlato ieri, tra cui Galaxy S10, Xiaomi Mi 9 e i router di Netgear e TP-Link. Nel complesso, la manifestazione ha pagato oltre 315.000 dollari ai concorrenti, comprando un totale di 18 bug tra i vari dispositivi. I dettagli sono già stati rivelati ai produttori, che hanno 90 giorni di tempo per correggerli prima che vengano condivisi pubblicamente (pratica standard del settore per assicurarsi tempi di risposta rapidi). Il team vincitore della competizione è, per la terza volta di seguito, il duo Fluoroacetate, composto da Richard Zhu e Amat Cama. Quest'anno ha portato a casa 195.000 dollari. Ecco il riassunto:

  • Samsung Galaxy S10: un hack alla baseband sfruttando uno stack overflow ha permesso di inviare al dispositivo un file senza autorizzazione. Premio di 50.000 dollari.
  • Netgear Nighthawk R6700: secondo tentativo (vittorioso) di attacco al router attraverso l'interfaccia LAN del device. L'operazione sfruttava tuttavia alcuni bug già scoperti da altri gruppi, quindi è stata giudicata una vittoria solo parziale senza premio in denaro.
  • TP-Link AC1750: questa volta gli hacker sono riusciti a ottenere il controllo del device attaccando la porta WAN. Uno stack overflow combinato con un altro bug logico ha permesso loro di eseguire codice non autorizzato sul router. Premio 20.000 dollari.
  • TP-Link AC1750: nuovo attacco alla porta WAN, questa volta sfruttando un bug di code injection in combinazione con alcune impostazioni predefinite non proprio sicure. Premio 20.000 dollari.
  • Xiaomi Mi 9: oggi è toccato allo smartphone di Xiaomi cadere attraverso un bug dell'NFC, come è successo ieri a Galaxy S10. Gli hacker sono riusciti a fargli inviare una foto a un altro smartphone. Premio 30.000 dollari.
  • Samsung Galaxy S10: un buffer overflow nel browser ha permesso agli hacker di evadere dalla relativa sandbox e rubare una foto salvata in galleria. Niente premio, però: alcuni dei bug sfruttati erano già conosciuti. Vittoria solo parziale.
(aggiornamento del 20 novembre 2019, ore 10:06)

17

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Bruce Wayne

basta dire la verità per prendersi le ire dei fanboy.
Figurati io che sparo merd4 su tutti i prodotti

Bruce Wayne

hanno usato male google translate.
Scialla

Aviato

Traduzione dall'inglese un po' storta, si intende ''già usato nella stessa competizione'', non conosciuto nel senso stretto

miccio

exploit[.]db[.]com per esempio

Developer

tipo?

Developer

esattamente...vorrei vedere le cose passo passo...molto utile

Luigiantonio Calò

"è libero" nel senso non obbligatorio, se lo fanno è perché magari hanno visto che nonostante la comunicazione al vendor se ne sono fregati di fixare il bug... sui vari siti specializzati in sicurezza alcune volte si vedono i bug trovati e come vengono sfruttati...

Dark_22
Developer

si ma dove rilasciano queste cose? mai vista una descrizione completa.

qaandrav

il produttore ha 90 giorni per fixare i bug; dopo 90 giorni chi ha trovato il bug è libero di comunicarlo al mondo intero

qaandrav

"Niente premio, però: alcuni dei bug sfruttati erano già conosciuti. Vittoria solo parziale."

conosciuti da quanto? e perché samsung non li ha sistemati se erano già conosciuti?

rsMkII

Quel gatto nell'immagine rende ancora meglio il concetto.

MasterBlatter

Quindi tu già sapevi tutto o lo scrivi per ribadire che sei un hater penoso?

Developer

cosa e dove?

Luigiantonio Calò

tra 90gg...

Andredory

Scrissi lo scorso giorno "Samsung ha più bug nel software che sullo schermo di S10+". Pieno di dislike perché quel giorno ne avevano trovato solo uno. Adesso siamo quota a tre. Dico solo a chi mi è andato contro: zitti e portate a casa. Avevo ragione.

Developer

Motorola Razr 2019: un tuffo nel passato e uno sguardo al futuro | Anteprima Video

Recensione Google Pixel 4 e confronto con iPhone 11 Pro

Xiaomi Mi Note 10: live batteria (5260 mAh) | Fine ore 22:45 con il 14% rimanente

Samsung Galaxy M30s: live batteria (6000 mAh) | Fine ore 23 con il 32% rimanente