Hai nhà nghiên cứu bảo mật đã đăng quang các tin tặc hàng đầu trong năm nay cuộc thi hack Pwn2Own sau khi phát triển và thử nghiệm một số khai thác cấu hình cao, bao gồm một cuộc tấn công chống lại Amazon Echo.
Amat Cama và Richard Zhu, những người tạo nên Đội Fluoroacetate, đã ghi được 60.000 đô la tiền thưởng cho việc khai thác tràn số nguyên của họ so với Amazon Echo Show 5 mới nhất, một màn hình thông minh do Alexa cung cấp.
Các nhà nghiên cứu phát hiện ra rằng thiết bị sử dụng một phiên bản cũ hơn của Chromium, các dự án trình duyệt nguồn mở của Google, đã bị rẽ nhánh một thời gian trong quá trình phát triển. Lỗi này cho phép họ mất quyền kiểm soát hoàn toàn trên điện thoại của thiết bị nếu được kết nối với điểm truy cập Wi-Fi độc hại, Brian Gorenc, giám đốc của Trend Micro tựa Zero Day Initiative, đưa vào cuộc thi Pwn2Own.
Các nhà nghiên cứu đã thử nghiệm khai thác của họ trong vỏ bọc che chắn tần số vô tuyến để ngăn chặn bất kỳ sự can thiệp nào từ bên ngoài.
Triệu Khoảng cách bản vá này là một yếu tố phổ biến trong nhiều thiết bị IoT bị xâm phạm trong cuộc thi, ông Gor Gorenc nói với TechCrunch.
Amat Cama (trái) và Richard Zhu (phải), những người tạo nên Đội Fluoroacetate. (Ảnh: ZDI)
Một lỗi tràn số nguyên xảy ra khi một phép toán cố gắng tạo một số nhưng không có khoảng trống cho nó trong bộ nhớ của nó, làm cho số đó tràn ra ngoài bộ nhớ được phân bổ. Điều đó có thể có ý nghĩa bảo mật cho thiết bị.
Khi đạt được, Amazon cho biết họ đang điều tra nghiên cứu này và sẽ thực hiện các bước thích hợp để bảo vệ các thiết bị của chúng tôi dựa trên cuộc điều tra của chúng tôi, nhưng không nói biện pháp nào sẽ khắc phục các lỗ hổng – hoặc khi nào.
Echo là một thiết bị kết nối internet duy nhất tại triển lãm. Đầu năm nay, cuộc thi cho biết tin tặc sẽ có cơ hội hack vào Cổng thông tin Facebook, màn hình thông minh hỗ trợ cuộc gọi video khổng lồ trên mạng xã hội. Các tin tặc, tuy nhiên, không thể khai thác Cổng thông tin.