Над 700 000 американски долари поделија хакерите кои открија безбедносни пропусти на првиот ден на Pwn2Own натпреварот во Ванкувер, Канада. Дел од жртвите се: новиот Windows, Adobe Reader, Tesla, Ubuntu Linux, Google Chrome, Safari, и Edge.
Pwn2Own е натпревар во кој најдобрите хакери ги покажуваат своите вештини. Целта на натпреварот е да се покажат безбедносните пропусти во дел од најпопуларните уреди и софтвер. Натпреварот во почетокот се одржуваше еднаш годишно, а сега се одржува два пати во годината. Првото издание се одржа во 2007 година.
Учесниците во период од два до четири дена презентираат нови и непознати пропусти во најпопуларните оперативни системи, прелистувачи, паметни телефони, или автомобили. Ако успеат да извршат напад учесниците добиваат парични награди. Натпреварот има две поважни придобивки: да ги открие пропустите и со тоа да овозможат да бидат поправени, и да го презентира напредокот во безбедноста, преку тоа колку е потешко да се пронајдат и искористат пропусти.
Искористени безбедносни пропусти во Tesla, Windows 11, Chrome, Safari на Pwn2Own
На првиот ден од Pwn2Own Vancouver 2024 натпреварувачите презентираа 19 нови (zero-day) пропусти во Tesla, Windows 11, Ubuntu Linux, пишува Bleeping Computer.
Абдулазис Харири успеа да пронајде пропуст во Adobe Reader, ги заобиколи API ограничувањата и изврши код на macOS. Откривањето на овој пропуст му донесе награда од 50 000 долари.
Безбедносните експерти од Synacktiv на Pwn2Own го освоија својот втор Tesla автомобил. Tesla е дарежлива кога овие натпревари се во прашање, па покрај наградата од 200 000 долари донираа и Tesla Model 3.
Synactktiv успеа да пронајде пропуст во компјутерот на Tesla Electronic Control Unit или накусо Tesla ECU. Ова е специјализиран компјутер кој контролира различни делови од Tesla автомобилите. Дел од функционалностите се контрола на работа на моторот, управување со батеријата, автопилот и FSD, системи за безбедност, но и системите за забава, светла и прозорци.
Експертите од Synacktiv успеаја да искористат еден „integer overflow“ пропуст и да дојдат до CAN BUS. Ова е контролер кој на микроконтролерите и деловите на Tesla им овозможува да комуницираат во правилен редослед. Со тоа се овозможува нормална работа на ECU, и со тоа на сите елементи кои се под негова контрола. По хакирањето возилото не може да прави ништо.
Групата редовно пронаоѓа безбедносни пропусти во Tesla. Во јануари на Pwn2Own натпреварот во Токио кој беше фокусиран на автомобили успеаја да пронајдат пропуст во Tesla Modem. Групата успеа да ја заобиколи заштитата на Tesla и во 2023 и тогаш освоија 100 000 долари и Tesla Model 3.
Друг значаен пропуст е пробивањето на VMware Workstation guest-to-host. Тимот кој ја претставува компанијата Theori успеа како „гостин“ да изврши команда со системски привилегии на Windows. Безбедносните експерти искористија повеќе пропусти кои започнуваат со неиницијализирана променлива, UAF пропуст и „heap-based buffer overflow“. За ова добија награда од 130 000 долари.
Соло хакерот Манифред Пол на Pwn2Own успеа да искористи безбедносни пропусти за да ја заобиколи заштитата на Safari, Google Chrome и Microsoft Edge. За пробивањето на Safari доби 60000 долари, а за Chrome и Edge уште 42500 американски долари.
Сеунгујн Ли пронајде пропуст на Google Chrome и „заработи“ 60000 долари.
Пронајдени беа и неколку пропусти во Oracle VirtualVox, Ubuntu Linux, Windows 11 и Chrome кои не ги споменавме.
Компаниите во чии софтвер беше пронајден пропуст сега имаат 90 дена да ги затворат овие пропусти. По истекувањето на овој период пропустите ќе бидат јавно објавени.
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
