Toronto, Canada: abili pirati informatici si sfidano a sfruttare le vulnerabilità zero-day per ottenere il pieno controllo dei dispositivi.
Si tratta di Pwn2Own, competizione organizzata dalla Zero Day Initiative di Trend Micro, banco di prova interessante per le capacità degli hacker di tutto il mondo nel rilevare e sfruttare debolezze non ancora conosciute nei dispositivi tecnologici più diffusi.
Sembra proprio che Galaxy S23 non sia come una cassaforte contro i tentativi di penetrazione informatica, dato che è stato oggetto di due violazioni nel primo giorno di contest.
Il primo exploit è stato trovato a partire da un elenco consentito di input menzionato dalla competizione, mentre il secondo gruppo è riuscito a sfruttare la tecnica di convalida degli input di Galaxy S23.
Hacker all'arrembaggio
Con l'aiuto di una convalida impropria degli input, gli hacker sono riusciti a ingannare un'app e quindi eseguire un codice maligno ottenendo il controllo delle risorse dello smartphone.
Le regole del concorso stabiliscono il raggio di manovra dei partecipanti, ciò vuol dire che i passaggi necessari a compromettere il dispositivo sono stati eseguiti mediante navigazione su browser predefinito per il bersaglio, utilizzando NFC, Wi-Fi o Bluetooth.
Il dispositivo deve inoltre essere in esecuzione sulla versione software più recente e con l'ultima patch di sicurezza: nel caso di Galaxy S23 non è stato possibile usare One UI 6.0 di prossima uscita.
Il team Pentest Limited è stato il primo a bucare Galaxy S23, sfruttando una debolezza nella validazione degli input per eseguire codice arbitrario ottenendo il controllo totale del dispositivo.
Per questa impresa, hanno ricevuto un premio di 50.000 dollari.
Successivamente, il team STAR Labs SG ha anch'esso avuto successo sfruttando un vulnerabilità simile per compromettere lo stesso modello di smartphone, guadagnandosi un premio di 25.000 dollari.
Sistemi violati e superstiti
Per questa edizione del Pwn2Own, è previsto un montepremi complessivo di oltre 1 milione di dollari in denaro e altri bonus.
Le ricompense più succose, fino a 300.000 dollari, sono riservate a coloro che riescono a violare gli iPhone 14 di Apple e i Pixel 7 di Google.
Oltre al Galaxy S23, diversi altri dispositivi sono stati colpiti nel corso della prima giornata del Pwn2Own, tra cui Xiaomi 13 Pro e una serie di dispositivi IoT come stampanti, telecamere, altoparlanti intelligenti e sistemi NAS di aziende quali Canon, Lexmark e Sonos.
Complessivamente, i partecipanti hanno ottenuto premi per un valore superiore a 400.000 dollari, dimostrando ben 23 diverse vulnerabilità zero-day.
Da dire che i dispositivi di Google e Apple sono riusciti a uscirne indenni, mentre Xiaomi 13 Pro è caduto vittima a sua volta di due attacchi.
Nonostante le suddette violazioni possano suscitare preoccupazione, sia per i possessori di dispositivi che per gli stessi sviluppatori, è confortante constatare che tali eventi sono indirizzati al fine di apportare miglioramenti.
Gli hacker hanno accesso alle ricompense, ma di rilevanza suprema è che questo tipo di rassegna ha il fine di agevolare l'adozione di idonee misure preventive da parte dei fabbricanti di dispositivi.
Va rilevato che il confronto si è tenuto in un ambiente protetto e i premi sono stati assegnati a hacker etici e ricercatori, allo scopo di individuare le vulnerabilità intrinseche in tali telefoni.
In conseguenza, è possibile affermare che gli exploit risultano già dettagliatamente documentati e che pertanto dovremmo attendere a breve una soluzione a tali problematiche.