Samsung Galaxy S9, Xiaomi Mi 6 e iPhone X fruttano migliaia di dollari al Pwn2Own

Il 13 e 14 novembre si è svolto a Tokyo il Pwn2Own, una competizione annuale tra hacker che ha come scopo scovare falle di sicurezza nei dispositivi e nei sistemi operativi: anche quest’anno i premi in denaro per la riuscita dell’impresa non sono mancati.

Gli hacker partecipanti hanno preso di mira Samsung Galaxy S9, Xiaomi Mi 6 e Apple iPhone X e hanno avuto successo in diversi casi, portandosi a casa migliaia di dollari. Il team “Fluoroacetate” ha dimostrato una vulnerabilità dello smartphone Xiaomi attraverso un exploit legato all’NFC, guadagnandosi 30.000 dollari di premio.

Sempre lo smartphone cinese è stato violato da MWR Labs, che ha dimostrato la possibilità di eseguire codice che sfrutta una vulnerabilità del Wi-Fi, riuscendo a ottenere una foto infiltrandosi nel sistema. Anche in questo caso, 30.000 i dollari di premio.

Il team di MWR Labs ha guadagnato altri 30.000 dollari dimostrando di potersi “infiltrare” all’interno di Samsung Galaxy S9: più precisamente, hanno hackerato un cosiddetto “captive portal”, ossia una pagina web che viene mostrata agli utenti di una rete quando tentano di connettersi a Internet mediante il browser, obbligando l’ignaro eventuale utente a caricare un’app malevola che esegue codice sul telefono senza autorizzazione.

“Fluoroacetate” è stato in grado di sfruttare un exploit legato all’heap overflow di componenti della baseband, una condizione di errore riguardante l’allocazione di memoria: questa volta gli hacker si sono portati a casa ben 50.000 dollari di premio.

Solo smartphone Android? Non proprio, perché nemmeno Apple iPhone X è stato risparmiato: lo stesso team qui sopra ha dimostrato l’esistenza di una vulnerabilità del dispositivo sulle reti Wi-Fi, sfruttando un bug nel compilatore Just-In-Time (JIT) e una falla nella scrittura “out-of-bounds”. Altri 60.000 dollari in tasca.

Pensate che solo nel primo dei due giorni di Pwn2Own sono stati guadagnati ben 225.000 dollari. Niente male vero? Speriamo che questo genere di iniziative contribuisca a rendere sempre più sicuri i nostri dispositivi.