Durante la prima giornata del Pwn2Own Tokyo 2019, alcuni team di hacker hanno preso di mira diversi dispositivi hi-tech alla ricerca di vulnerabilità software (o hardware) in una competizione che ha come scopo quello di portare all’attenzione delle grandi aziende vulnerabilità o days e tanto altro. È proprio su questo concetto che si basa lo Zero Day Initiative, ovvero il lavoro di persone molto abili nello scovare importanti bug di sicurezza che, tramite una ricompensa in denaro, aiutano altre aziende a chiudere le falle scoperte.
Quest’anno, per la prima volta, il team Fluoroacetate ha preso di mira una smart TV, la Sony X800G. È bastato un solo tentativo per attivare una shell grazie all’utilizzo di un bug JavaScript presente all’interno del browser integrato. Il team Flashback ha invece provato a “bucare” l’interfaccia LAN del router NETGEAR Nighthawk Smart WiFi Router (R6700). Anche in questo caso si tratta di una novità, visto che i router non erano mai stati presi di mira durante questi eventi.
Il team non ha avuto problemi ad aprirsi una strada sfruttando uno buffer stack overflow per accedere alla shell di comando del router. Estremamente interessante l’hacking dell’Amazon Echo Show 5. In questo caso hanno avuto modo di prendere il controllo del dispositivo smart di Amazon al primo colpo, cosa che ci rimanda ai gravi problemi di sicurezza di cui vi abbiamo parlato qualche giorno fa.
Il team Flouroacetate ha preso di mira anche uno Xiaomi Mi 9 utilizzando un bug di JavaScript che gli ha permesso di estrapolare una fotografia, cosa che ha anche interessato un Samsung Galaxy S10 ma in questo caso sfruttando il modulo NFC accoppiato ad un bug in JavaScript. Per chi volesse scoprire tutti gli altri hack, vi consigliamo di guardare il video qui sotto.