PWN2OWN TOKYO 2019駭客競賽,由Richard Zhu及Amat Cama組成的Fluoroacetate團隊,贏得Master of Pwn winners。(圖片來源/Zero Day Initiative)

趨勢科技旗下的Zero Day Initiative(ZDI),上周在日本東京舉辦的Pwn2Own Tokyo 2019駭客競賽結果出爐了,這次的比賽依然鎖定各種物聯網裝置,從手機、穿戴裝置、智慧家庭裝置、智慧電視到路由器,而包括Amazon Echo、Samsung Q60、Sony X800G、Xiaomi Mi 9、Samsung Galaxy S10,以及TP-Link與Netgear的路由器,都在第一天賽事就被攻陷了。

由Richard Zhu及Amat Cama組成的Fluoroacetate團隊,開採了Amazon Echo Show 5的一個整數溢位漏洞,取得了該裝置的控制權。Fluoroacetate也成功入侵了Samsung Q60與Sony X800G兩台智慧電,以及多次成功開採Samsung Galaxy S10手機漏洞。

還有不少裝置同時被多組人馬成功開採,例如Fluoroacetate,以及由Mark Barnes、Max Van Amerongen與James Loureiro組成的F-Secure Labs團隊,都成功入侵了小米9(Xiaomi Mi9)手機。其中,Fluoroacetate利用JavaScript臭蟲汲取了小米9所存放的照片,F-Secure Labs則是利用小米9的NFC元件漏洞,以將手機中的照片,傳送到由駭客所控制的手機上。

而TP-Link的AC1750 Smart W-iFi路由器,則同時被Flashback團隊與F-Secure Labs團隊兩度成功開採。Netgear Nighthawk Smart WiFi Router (R6700),也同時被Flashback團隊及Fluoroacetate團隊成功入侵。有的漏洞允許駭客變更路由器的韌體,有些漏洞則可讓駭客執行遠端程式攻擊。

在這次的駭客競賽中,其實目標裝置還包括Google Pixel 3 XL、Apple iPhone XS Max、Apple Watch Series 4、Facebook Portal、Google Nest Hub Max及Amazon Cloud Cam Security Camera等,不過參與的駭客團隊並未選擇這些裝置展開攻擊,外界猜測他們鎖定了相對容易下手的目標。

不論如何,在兩天的競賽中,上述團隊總計發現了18個不同的安全漏洞,贏走了31.5萬美元的獎金,ZDI打算在進一步證實這些零時差漏洞與攻擊程式之後,再提報給相關業者,並提供90天的修補期限。


Advertisement

更多 iThome相關內容