Nhận thưởng 60.000 USD vì hack được loa Amazon

Theo Enternews

11/11/2019 10:45:23

Hai chuyên gia bảo mật đã giành được giải thưởng 60.000 USD sau khi khai thác thành công lỗ hổng để tấn công vào loa thông minh Amazon Echo.

Amat Cama và Richard Zhu đã nhận 60.000 USD tiền thưởng tại cuộc thi "hack" Pwn2Own năm nay sau khi phát triển giải pháp và thử nghiệm tấn công thành công loa thông minh Amazon Echo, cụ thể là sản phẩm Amazon Echo Show 5 mới nhất của Amazon. Nhờ thành công này, hai nhà nghiên cứu bảo mật thuộc đội thi Fluoroacetate đã đăng quang đứng đầu cuộc thi Pwn2Own lần này.

Theo đó, hai nhà nghiên cứu bảo mật đã phát hiện ra loa thông minh này sử dụng phiên bản đã cũ của Chromium, trình duyệt web mã nguồn mở, là nền tảng để xây dựng nên Google Chrome. Brian Gorenc, Giám đốc hãng bảo mật Trend Micro Zero Day Initiative cho biết, với phát hiện trên, họ đã khai thác lỗi này và lấy quyền kiểm soát hoàn toàn thiết bị nếu nó được kết nối với Wi-Fi.

Pwn2Own là cuộc thi hack được tổ chức thường niên kể từ năm 2007, để tìm ra các lỗ hổng bảo mật của các thiết bị trên thị trường. Trao đổi với TechCrunch, ông Gorenc cho biết cuộc thi Pwn2Own năm nay chú trọng tới các lỗ hổng trên các thiết bị IoT, nhất là khi nó các thiết bị này phổ biến hơn và việc phát hiện lỗ hổng sớm giúp cập nhật bản vá nhanh hơn.

Về phía Amazon, họ cho biết đang điều tra nghiên cứu này và sẽ thực hiện các bước thích hợp để bảo vệ các thiết bị của mình dựa trên những báo cáo về lỗ hổng, nhưng Amazon chưa nói biện pháp nào sẽ được sử dụng để khắc phục lỗ hổng và khi nào sẽ có bản vá.

Cuộc thi Pwn2Own năm nay được diễn ra tại Tokyo, thành quả thu được là các đội đã kiếm được hơn 315.000 USD tiền thưởng trong suốt hai ngày diễn ra cuộc thi. Kết thúc cuộc thi có 18 lỗi bảo mật được tìm thấy trên các sản phẩm thiết bị khác nhau, từ bộ định tuyến Wi-Fi, TV và các sản phẩm tự động hóa nhà thông minh, bao gồm cả thiết bị của Amazon Echo nêu trên.

Ba đội có thành tích tốt nhất là đội Fluoroacetate, đội F-Secure Labs và đội mới tham gia năm nay là Flashback. Trong đó, đáng chú ý nhất chính là đội Fluoroacetate của hai nhà nghiên cứu Amat Cama và Richard Zhu, họ đã kiếm được tổng cộng 195.000 USD từ cuộc thi.

Ngoài tìm ra lỗ hổng trên Amazon Echo, đội Fluoroacetate cũng đã có một cú đánh mạnh vào TV thông minh. Chiếc tivi thông minh đầu tiên bị hack thành công là TV Sony X800G, chiếc tivi đầu tiên xuất hiện trong cuộc thi Pwn2Own sau đó là chiếc TV thông minh Samsung Q60. Với hai thành công này đã lần lượt giúp họ kiếm được 15.000 USD và 20.000 tiền thưởng. Cả hai thiết bị trên đều bị hack thành công bằng việc sử dụng một số nguyên tràn trong JavaScript, điều này mở ra một cổng giao tiếp để cho phép kẻ tấn công kết nối với thiết bị và thực thi các lệnh.