趋势科技旗下的Zero Day Initiative(ZDI),上周在日本东京举办的Pwn2Own Tokyo 2019黑客竞赛结果出炉了,这次的比赛依然锁定各种物联网设备,从手机、穿戴设备、智能家庭设备、智能电视到路由器,而包括Amazon Echo、Samsung Q60、Sony X800G、Xiaomi Mi 9、Samsung Galaxy S10,以及TP-Link与Netgear的路由器,都在第一天赛事就被攻陷了。
由Richard Zhu及Amat Cama组成的Fluoroacetate团队,开采了Amazon Echo Show 5的一个整数溢出漏洞,取得了该设备的控制权。Fluoroacetate也成功入侵了Samsung Q60与Sony X800G两台智能电,以及多次成功开采Samsung Galaxy S10手机漏洞。
还有不少设备同时被多组人马成功开采,例如Fluoroacetate,以及由Mark Barnes、Max Van Amerongen与James Loureiro组成的F-Secure Labs团队,都成功入侵了小米9(Xiaomi Mi9)手机。其中,Fluoroacetate利用JavaScriptbug汲取了小米9所存放的照片,F-Secure Labs则是利用小米9的NFC组件漏洞,以将手机中的照片,发送到由黑客所控制的手机上。
而TP-Link的AC1750 Smart W-iFi路由器,则同时被Flashback团队与F-Secure Labs团队两度成功开采。Netgear Nighthawk Smart WiFi Router (R6700),也同时被Flashback团队及Fluoroacetate团队成功入侵。有的漏洞允许黑客变更路由器的固件,有些漏洞则可让黑客执行远程程序攻击。
在这次的黑客竞赛中,其实目标设备还包括Google Pixel 3 XL、Apple iPhone XS Max、Apple Watch Series 4、Facebook Portal、Google Nest Hub Max及Amazon Cloud Cam Security Camera等,不过参与的黑客团队并未选择这些设备展开攻击,外界猜测他们锁定了相对容易下手的目标。
不论如何,在两天的竞赛中,上述团队总计发现了18个不同的安全漏洞,赢走了31.5万美元的奖金,ZDI打算在进一步证实这些零时差漏洞与攻击程序之后,再提报给相关企业,并提供90天的修补期限。