На Pwn2Own впервые разрешат взломать промышленное оборудование
Промышленное оборудование окажется в центре внимания в рамках следующего конкурса Pwn2Own. Впервые исследователям безопасности будет разрешено взламывать программное обеспечение и протоколы на Pwn2Own.
За 12 лет существования основными целями конкурса были браузеры и операционные системы. В последние несколько лет организаторы пополнили список объектов для взлома электрокарами Tesla и «умными» дисплеями Facebook Portal.
По словам организаторов проекта, в нынешнем году появятся пять категорий АСУ: сервер управления, сервер унифицированной архитектуры OPC, DNP3-шлюз, человеко-машинный интерфейс (HMI)/рабочая станция оператора и программное обеспечение Engineering Workstation (EWS).
Участники смогут свободно выбирать, какое из вышеперечисленного оборудования они хотят взломать. За успешное удаленное выполнение кода исследователи могут заработать $20 тыс., за раскрытие информации — $10 тыс., за вызов состояния отказа в обслуживании — $5 тыс. Призовой фонд конкурса составит более $250 тыс.
По словам организаторов, производители будут немедленно предупреждены обо всех уязвимостях, обнаруженных на предстоящем конкурсе Pwn2Own. Следующий Pwn2Own состоится на конференции по безопасности S4 ICS в Майами (США) 21-23 января 2020 года.
https://www.securitylab.ru/news/502101.php
Промышленное оборудование окажется в центре внимания в рамках следующего конкурса Pwn2Own. Впервые исследователям безопасности будет разрешено взламывать программное обеспечение и протоколы на Pwn2Own.
За 12 лет существования основными целями конкурса были браузеры и операционные системы. В последние несколько лет организаторы пополнили список объектов для взлома электрокарами Tesla и «умными» дисплеями Facebook Portal.
По словам организаторов проекта, в нынешнем году появятся пять категорий АСУ: сервер управления, сервер унифицированной архитектуры OPC, DNP3-шлюз, человеко-машинный интерфейс (HMI)/рабочая станция оператора и программное обеспечение Engineering Workstation (EWS).
Участники смогут свободно выбирать, какое из вышеперечисленного оборудования они хотят взломать. За успешное удаленное выполнение кода исследователи могут заработать $20 тыс., за раскрытие информации — $10 тыс., за вызов состояния отказа в обслуживании — $5 тыс. Призовой фонд конкурса составит более $250 тыс.
По словам организаторов, производители будут немедленно предупреждены обо всех уязвимостях, обнаруженных на предстоящем конкурсе Pwn2Own. Следующий Pwn2Own состоится на конференции по безопасности S4 ICS в Майами (США) 21-23 января 2020 года.
https://www.securitylab.ru/news/502101.php
SecurityLab.ru
На Pwn2Own впервые разрешат взломать промышленное оборудование
Призовой фонд конкурса составит более $250 тыс.
ЦБ РФ может обязать банки пользоваться услугами «белых хакеров»
Центробанк России совместно с ФСБ и Федеральной службой по техническому и экспортному контролю (ФСТЭК) работает над стандартами оценки качества работы компаний, проверяющих надежность банковской инфраструктуры. Об этом «Известиям» сообщил заместитель главы департамента информационной безопасности ЦБ РФ Артем Сычев.
По словам Сычева, аудит защищенности платежной инфраструктуры, проводимый независимыми компаниями по заказу кредитных организаций, чаще всего оставляет желать лучшего. В связи с этим для обеспечения безопасности средств граждан и корпораций компетентные органы решили разработать стандарты и механизмы контроля качества IT-аудиторов.
Замглавы отказался предоставить подробности, однако близкий к Центробанку источник сообщил, что аудиторов могут обязать пользоваться услугами «белых хакеров» для проведения тестов на проникновение и имитации кибератак. Факт обсуждения такого норматива также подтвердил источник на финансовом рынке.
Напомним, в апреле нынешнего года ЦБ РФ обязал банки проводить независимую оценку защищенности своих систем. Кредитные организации должны ежегодно тестировать свою платежную инфраструктуру (мобильные приложения, беспроводные сети и пр.) на проникновение с привлечением внешних независимых экспертов. Тем не менее, в настоящее время нормативная база для таких проверок отсутствует, поэтому, нанимая аудиторов, каждый банк руководствуется собственными критериями качества.
Источник: https://www.securitylab.ru/news/502109.php
Центробанк России совместно с ФСБ и Федеральной службой по техническому и экспортному контролю (ФСТЭК) работает над стандартами оценки качества работы компаний, проверяющих надежность банковской инфраструктуры. Об этом «Известиям» сообщил заместитель главы департамента информационной безопасности ЦБ РФ Артем Сычев.
По словам Сычева, аудит защищенности платежной инфраструктуры, проводимый независимыми компаниями по заказу кредитных организаций, чаще всего оставляет желать лучшего. В связи с этим для обеспечения безопасности средств граждан и корпораций компетентные органы решили разработать стандарты и механизмы контроля качества IT-аудиторов.
Замглавы отказался предоставить подробности, однако близкий к Центробанку источник сообщил, что аудиторов могут обязать пользоваться услугами «белых хакеров» для проведения тестов на проникновение и имитации кибератак. Факт обсуждения такого норматива также подтвердил источник на финансовом рынке.
Напомним, в апреле нынешнего года ЦБ РФ обязал банки проводить независимую оценку защищенности своих систем. Кредитные организации должны ежегодно тестировать свою платежную инфраструктуру (мобильные приложения, беспроводные сети и пр.) на проникновение с привлечением внешних независимых экспертов. Тем не менее, в настоящее время нормативная база для таких проверок отсутствует, поэтому, нанимая аудиторов, каждый банк руководствуется собственными критериями качества.
Источник: https://www.securitylab.ru/news/502109.php
SecurityLab.ru
ЦБ РФ может обязать банки пользоваться услугами «белых хакеров»
Регулятор совместно с ФСБ и ФСТЭК разрабатывает стандарты оценки качества работы IT-аудиторов.
21-летний брянец распространял троян под видом торговых ботов
Житель Брянска намеревался «поживиться» за чужой счет, но был остановлен сотрудниками регионального управления ФСБ. Как сообщает прокуратура, с ноября прошлого года по февраль нынешнего года 21-летний мужчина под видом «торговых ботов» распространял вредоносное ПО для копирования и модификации компьютерной информации.
Брянец разместил в интернете ссылки на скачивание «торговых ботов», якобы предназначенных для игры на виртуальных биржах. В них содержался троян, с помощью которого злоумышленник намеревался похитить учетные данные жертв, завладеть их электронными кошельками и перевести средства с них на собственный счет.
Преступные действия были пресечены сотрудниками регионального управления ФСБ. Прокуратура утвердила в отношении брянца обвинение в совершении преступления, предусмотренного ч.2 ст. 273 УК РФ («Распространение компьютерных программ, заведомо предназначенных для несанкционированной модификации и копирования компьютерной информации, совершенное из корыстной заинтересованности»). Дело передано в Бежицкий районный суд Брянска для рассмотрения по существу.
Источник: https://www.securitylab.ru/news/502194.php
Житель Брянска намеревался «поживиться» за чужой счет, но был остановлен сотрудниками регионального управления ФСБ. Как сообщает прокуратура, с ноября прошлого года по февраль нынешнего года 21-летний мужчина под видом «торговых ботов» распространял вредоносное ПО для копирования и модификации компьютерной информации.
Брянец разместил в интернете ссылки на скачивание «торговых ботов», якобы предназначенных для игры на виртуальных биржах. В них содержался троян, с помощью которого злоумышленник намеревался похитить учетные данные жертв, завладеть их электронными кошельками и перевести средства с них на собственный счет.
Преступные действия были пресечены сотрудниками регионального управления ФСБ. Прокуратура утвердила в отношении брянца обвинение в совершении преступления, предусмотренного ч.2 ст. 273 УК РФ («Распространение компьютерных программ, заведомо предназначенных для несанкционированной модификации и копирования компьютерной информации, совершенное из корыстной заинтересованности»). Дело передано в Бежицкий районный суд Брянска для рассмотрения по существу.
Источник: https://www.securitylab.ru/news/502194.php
SecurityLab.ru
21-летний брянец распространял троян под видом торговых ботов
С помощью трояна злоумышленник намеревался похитить пароли от электронных кошельков.
Смартфоны можно взломать с помощью оставленных на стакане отпечатков пальцев
Команда исследователей из Tencent Security X-Lab продемонстрировала на мероприятии GeekPwn 2019 в Шанхае, как можно взломать смартфон с помощью отпечатков пальцев, оставленных на стакане. Исследователь Чень Ю просканировал отпечатки пальцев со стакана с помощью приложения на телефоне, а затем за 20 минут создал физическую копию отпечатков, способных обмануть сканеры смартфонов или автомобилей.
«Необходимое для данной атаки аппаратное обеспечение стоило в общей сложности более 1000 юаней (примерно $140), а оборудование представляет собой всего лишь один телефон и приложение», — пояснил исследователь изданию The Paper.
Как сообщают исследователи, им первым удалось взломать ультразвуковой датчик отпечатков пальцев — один из самых распространенных типов, используемых в смартфонах, наряду с емкостными и оптическими сенсорами.
Однако напомним, ранее в этом месяце британка продемонстрировала, как можно обмануть ультразвуковой датчик отпечатков пальцев в Samsung Galaxy S10. Женщина приобрела гелевую защитную пленку за $3 и обнаружила , что может разблокировать устройство с помощью незарегистрированного пальца. Как вскоре оказалось, ее семья также может разблокировать телефон. Компания Samsung уже выпустила обновление, призванное устранить данную проблему. Также в апреле нынешнего года пользователю форума Reddit под псевдонимом Darkshark удалось обойти систему защиты смартфона при помощи трехмерной модели отпечатка пальца.
Источник: https://www.securitylab.ru/news/502222.php
Команда исследователей из Tencent Security X-Lab продемонстрировала на мероприятии GeekPwn 2019 в Шанхае, как можно взломать смартфон с помощью отпечатков пальцев, оставленных на стакане. Исследователь Чень Ю просканировал отпечатки пальцев со стакана с помощью приложения на телефоне, а затем за 20 минут создал физическую копию отпечатков, способных обмануть сканеры смартфонов или автомобилей.
«Необходимое для данной атаки аппаратное обеспечение стоило в общей сложности более 1000 юаней (примерно $140), а оборудование представляет собой всего лишь один телефон и приложение», — пояснил исследователь изданию The Paper.
Как сообщают исследователи, им первым удалось взломать ультразвуковой датчик отпечатков пальцев — один из самых распространенных типов, используемых в смартфонах, наряду с емкостными и оптическими сенсорами.
Однако напомним, ранее в этом месяце британка продемонстрировала, как можно обмануть ультразвуковой датчик отпечатков пальцев в Samsung Galaxy S10. Женщина приобрела гелевую защитную пленку за $3 и обнаружила , что может разблокировать устройство с помощью незарегистрированного пальца. Как вскоре оказалось, ее семья также может разблокировать телефон. Компания Samsung уже выпустила обновление, призванное устранить данную проблему. Также в апреле нынешнего года пользователю форума Reddit под псевдонимом Darkshark удалось обойти систему защиты смартфона при помощи трехмерной модели отпечатка пальца.
Источник: https://www.securitylab.ru/news/502222.php
SecurityLab.ru
Смартфоны можно взломать с помощью оставленных на стакане отпечатков пальцев
Команда исследователей за 20 минут «клонировала» отпечаток пальца и взломала мобильное устройство.
Зафиксированы первые попытки массовой эксплуатации уязвимости BlueKeep в Windows
Эксперты в области кибербезопасности выявили первые аматорские попытки эксплуатации нашумевшей RCE-уязвимости в Windows для добычи криптовалюты на уязвимых системах. Речь идет об уязвимости CVE-2019-0708 (BlueKeep), патч для которой Microsoft выпустила еще в мае текущего года.
Проблема позволяет выполнить произвольный код и перехватить контроль над устройством путем отправки специально сформированных запросов к службам удаленного рабочего стола, при этом взаимодействие с пользователем не требуется. Баг затрагивает версии Windows 2003, XP, Windows 7, Windows Server 2008 и 2008 R2 и представляет существенную опасность, поскольку может использоваться для осуществления атак наподобие WannaCry и NotPetya. По данным на 2 июля 2019 года число систем, подверженных уязвимости BlueKeep, превышало 805 000 устройств.
Первым попытки эксплуатации данной уязвимости зафиксировал специалист Кевин Бомон (Kevin Beaumont) в субботу, 2 ноября, когда несколько его систем-«ловушек» внезапно вышли из строя и перезагрузились.
Проанализировав данные, которыми поделился Бомон, ИБ-эксперт Майкл Хатчинс, известный тем, что временно приостановил эпидемию WannaCry в мае 2017 года, подтвердил попытки эксплуатации бага для добычи криптовалюты Monero.
По его словам, используемый эксплоит содержит зашифрованные команды PowerShell для загрузки конечного вредоносного модуля с удаленного сервера и его выполнения на атакуемых системах. Согласно данным сервиса VirusTotal, в атаках используется вредоносная программа для майнинга криптовалюты Monero.
Как отметил специалист, вредонос не обладает возможностями «самораспространения» и не может перемещаться от компьютера к компьютеру. Судя по всему, атакующие сперва сканируют Сеть в поисках уязвимых систем и затем эксплуатируют их. В настоящее время нет данных о количестве систем, скомпрометированных в недавних атаках.
https://www.securitylab.ru/news/502260.php
Эксперты в области кибербезопасности выявили первые аматорские попытки эксплуатации нашумевшей RCE-уязвимости в Windows для добычи криптовалюты на уязвимых системах. Речь идет об уязвимости CVE-2019-0708 (BlueKeep), патч для которой Microsoft выпустила еще в мае текущего года.
Проблема позволяет выполнить произвольный код и перехватить контроль над устройством путем отправки специально сформированных запросов к службам удаленного рабочего стола, при этом взаимодействие с пользователем не требуется. Баг затрагивает версии Windows 2003, XP, Windows 7, Windows Server 2008 и 2008 R2 и представляет существенную опасность, поскольку может использоваться для осуществления атак наподобие WannaCry и NotPetya. По данным на 2 июля 2019 года число систем, подверженных уязвимости BlueKeep, превышало 805 000 устройств.
Первым попытки эксплуатации данной уязвимости зафиксировал специалист Кевин Бомон (Kevin Beaumont) в субботу, 2 ноября, когда несколько его систем-«ловушек» внезапно вышли из строя и перезагрузились.
Проанализировав данные, которыми поделился Бомон, ИБ-эксперт Майкл Хатчинс, известный тем, что временно приостановил эпидемию WannaCry в мае 2017 года, подтвердил попытки эксплуатации бага для добычи криптовалюты Monero.
По его словам, используемый эксплоит содержит зашифрованные команды PowerShell для загрузки конечного вредоносного модуля с удаленного сервера и его выполнения на атакуемых системах. Согласно данным сервиса VirusTotal, в атаках используется вредоносная программа для майнинга криптовалюты Monero.
Как отметил специалист, вредонос не обладает возможностями «самораспространения» и не может перемещаться от компьютера к компьютеру. Судя по всему, атакующие сперва сканируют Сеть в поисках уязвимых систем и затем эксплуатируют их. В настоящее время нет данных о количестве систем, скомпрометированных в недавних атаках.
https://www.securitylab.ru/news/502260.php
SecurityLab.ru
Зафиксированы первые попытки массовой эксплуатации уязвимости BlueKeep в Windows
Злоумышленники используют баг для добычи криптовалюты Monero.
5 серия 4 сезона уже вышла в озвучке LostFilm:
https://mister-robot.tv/4-sezon/192-4-sezon-5-seriya.html
https://mister-robot.tv/4-sezon/192-4-sezon-5-seriya.html
Mister-Robot.TV - сайт посвященный сериалу Мистер Робот / Mr.Robot
4 сезон, 5 серия
(!) Описание содержит спойлерыВ эпизоде «Запрещенный метод» всего два диалога (если их можно назвать диалогами): в начале и в конце. А между ними мы видим, что время не на стороне Эллиота и Дарлин, что Дом не распоряжается своим временем и что настало время…
Компания Nikkei потеряла $29 млн из-за мошенников
Американское подразделение компании Nikkei пострадало от крупного мошенничества, в результате которого лишилось около 3,2 млрд. японских иен (примерно $29 млн). Средства были переведены сотрудником компании по указанию мошенника, действовавшего под видом руководителя международной фирмы.
BEC-атаки (Business Email Compromise) представляют собой мошенническую схему, при которой злоумышленники просят сотрудника компании перевести деньги на подконтрольный им банковский счет, отправив просьбу в электронном письме якобы от имени директора компании или доверенного партнера.
Компания уведомила правоохранительные органы в США и Гонконге, поскольку киберпреступники часто перенаправляют украденные деньги на счета в Гонконге.
«Мы проводим расследование, а также проверяем подробности и причины данного инцидента», — сообщила компания в официальном заявлении.
Напомним, в сентябре нынешнего года производитель автомобильных компонентов Toyota Boshoku Corporation (входит в Toyota Group) также сообщил о мошенничестве, в результате которого одна из ее европейских дочерних компаний потеряла более $37 млн. Инцидент произошел 14 августа текущего года.
Источник: https://www.securitylab.ru/news/502297.php
Американское подразделение компании Nikkei пострадало от крупного мошенничества, в результате которого лишилось около 3,2 млрд. японских иен (примерно $29 млн). Средства были переведены сотрудником компании по указанию мошенника, действовавшего под видом руководителя международной фирмы.
BEC-атаки (Business Email Compromise) представляют собой мошенническую схему, при которой злоумышленники просят сотрудника компании перевести деньги на подконтрольный им банковский счет, отправив просьбу в электронном письме якобы от имени директора компании или доверенного партнера.
Компания уведомила правоохранительные органы в США и Гонконге, поскольку киберпреступники часто перенаправляют украденные деньги на счета в Гонконге.
«Мы проводим расследование, а также проверяем подробности и причины данного инцидента», — сообщила компания в официальном заявлении.
Напомним, в сентябре нынешнего года производитель автомобильных компонентов Toyota Boshoku Corporation (входит в Toyota Group) также сообщил о мошенничестве, в результате которого одна из ее европейских дочерних компаний потеряла более $37 млн. Инцидент произошел 14 августа текущего года.
Источник: https://www.securitylab.ru/news/502297.php
SecurityLab.ru
Компания Nikkei потеряла $29 млн из-за мошенников
Злоумышленник выдавал себя за руководителя международной фирмы.
В России появится механизм конфискации криптовалют
По итогам заседания, состоявшегося 1 ноября нынешнего года, Коллегия МВД РФ поручила профильным ведомствам разработать правовой механизм ареста виртуальных активов, в частности криптовалют, для их конфискации. До 31 декабря 2021 года свои предложения должны представить МВД, Росфинмониторинг, Генпрокуратура, Следственный комитет, Минюст, ФСБ, ФТС и ФССП при участии Верховного суда, пишет «РБК».
В настоящее время правовой статус криптовалюты в России не определен, поэтому для того, чтобы ее можно было конфисковать, криптовалюту нужно признать либо денежным эквивалентом, либо товаром. Для регулирования сферы криптовалюты в России с 2017 года разрабатывается законопроект о цифровых финансовых активах (ЦФА). Документ был принят Госдумой в первом чтении в мае прошлого года, но с тех пор все еще готовится ко второму чтению.
Законопроект о ЦФА предназначен для регулирования выпуска, учета и обращения цифровых финансовых активов. Согласно документу, таковыми следует считать оформленные через блокчейн цифровые аналоги долговых расписок, облигаций и прав участия в капитале. Законопроект также вводит понятие «цифровые валюты», но не дает этому термину однозначного определения.
По мнению экспертов, разработка механизмов конфискации криптовалюты фактически означает ее легализацию. Тем не менее, в международной и даже в российской практике уже неоднократно встречались случаи конфискации криптовалюты по решению суда в отсутствие регулирующего ее законодательства.
Конфискация криптовалюты по решению суда теоретически может быть введена и в России. Однако в таком случае неизбежны технические трудности с доступом к криптовалютным кошелькам. Правоохранителям придется не только каким-то образом заполучить учетные данные владельца кошелька, им также нужно будет доказать, что кошелек принадлежит данному конкретному лицу.
Напомним, по итогам заседания 1 ноября Коллегия МВД также поручила разработать эффективные методы блокировки сигнала сотовой связи в тюрьмах и приняла решение по созданию в своей структуре нового подразделения для борьбы с киберпреступностью.
https://www.securitylab.ru/news/502371.php
По итогам заседания, состоявшегося 1 ноября нынешнего года, Коллегия МВД РФ поручила профильным ведомствам разработать правовой механизм ареста виртуальных активов, в частности криптовалют, для их конфискации. До 31 декабря 2021 года свои предложения должны представить МВД, Росфинмониторинг, Генпрокуратура, Следственный комитет, Минюст, ФСБ, ФТС и ФССП при участии Верховного суда, пишет «РБК».
В настоящее время правовой статус криптовалюты в России не определен, поэтому для того, чтобы ее можно было конфисковать, криптовалюту нужно признать либо денежным эквивалентом, либо товаром. Для регулирования сферы криптовалюты в России с 2017 года разрабатывается законопроект о цифровых финансовых активах (ЦФА). Документ был принят Госдумой в первом чтении в мае прошлого года, но с тех пор все еще готовится ко второму чтению.
Законопроект о ЦФА предназначен для регулирования выпуска, учета и обращения цифровых финансовых активов. Согласно документу, таковыми следует считать оформленные через блокчейн цифровые аналоги долговых расписок, облигаций и прав участия в капитале. Законопроект также вводит понятие «цифровые валюты», но не дает этому термину однозначного определения.
По мнению экспертов, разработка механизмов конфискации криптовалюты фактически означает ее легализацию. Тем не менее, в международной и даже в российской практике уже неоднократно встречались случаи конфискации криптовалюты по решению суда в отсутствие регулирующего ее законодательства.
Конфискация криптовалюты по решению суда теоретически может быть введена и в России. Однако в таком случае неизбежны технические трудности с доступом к криптовалютным кошелькам. Правоохранителям придется не только каким-то образом заполучить учетные данные владельца кошелька, им также нужно будет доказать, что кошелек принадлежит данному конкретному лицу.
Напомним, по итогам заседания 1 ноября Коллегия МВД также поручила разработать эффективные методы блокировки сигнала сотовой связи в тюрьмах и приняла решение по созданию в своей структуре нового подразделения для борьбы с киберпреступностью.
https://www.securitylab.ru/news/502371.php
SecurityLab.ru
В России появится механизм конфискации криптовалют
Профильные ведомства должны представить свои предложения по созданию механизма ареста криптовалют до 31 декабря 2021 года.
Pwn2Own 2019 в Токио: Итоги двух дней соревнований
В общей сложности $315 тыс. заработали участники хакерских соревнований Pwn2Own 2019, проходивших 6-7 ноября в Токио. В ходе соревнований участниками было обнаружено 18 ранее неизвестных уязвимостей, о которых производители затронутых продуктов были сразу же уведомлены. На исправление проблем производителям отведен срок в 90 дней.
Организатором Pwn2Own является Trend Micro Zero Day Initiative (ZDI), а призовой фонд составил $750 тыс. Наибольшую сумму по итогам двух дней ($195 тыс.) выиграла хорошо известная по прошлым соревнованиям команда Fluoroacetate в составе двух человек – Амата Камы (Amat Cama) и Ричарда Чжу (Richard Zhu). По итогам двух дней Pwn2Own Fluoroacetate стала чемпионом уже третий раз подряд.
В первый день соревнований участники Pwn2Own заработали $195 тыс. за эксплуатацию уязвимостей в смарт-телевизорах, маршрутизаторах и смартфонах. Для взлома им было предоставлено 17 различных устройств, в том числе «умный» дисплей Portal и шлем виртуальной реальности Oculus Quest от Facebook. Оба эти устройства участвовали в Pwn2Own впервые.
Участники соревнований осуществили 10 попыток взлома, и большинство из них оказались успешными. Команде Fluoroacetate удалось взломать смарт-телевизоры Sony X800G и Samsung Q60, «умную» аудиоколонку Amazon Echo и смартфон Xiaomi Mi9, а также похитить изображение с Samsung Galaxy S10 через NFC.
Команда Flashback взломала «умные» маршрутизаторы NETGEAR Nighthawk Smart WiFi Router (R6700) и TP-Link AC1750 Smart WiFi Router. Команда F-Secure Labs попыталась взломать маршрутизатор TP-Link и смартфон Xiaomi Mi9, однако попытки оказались успешными только частично.
Во второй день соревнований участники Fluoroacetate смогли выполнить произвольный код на Samsung Galaxy S10, за что получили $50 тыс. Команды Flashback и F-Secure Labs взломали маршрутизатор TP-Link AC1750, получив $20 тыс. каждая. Во второй день F-Secure Labs все-таки удалось взломать Xiaomi Mi9 и заработать $30 тыс.
https://www.securitylab.ru/news/502389.php
В общей сложности $315 тыс. заработали участники хакерских соревнований Pwn2Own 2019, проходивших 6-7 ноября в Токио. В ходе соревнований участниками было обнаружено 18 ранее неизвестных уязвимостей, о которых производители затронутых продуктов были сразу же уведомлены. На исправление проблем производителям отведен срок в 90 дней.
Организатором Pwn2Own является Trend Micro Zero Day Initiative (ZDI), а призовой фонд составил $750 тыс. Наибольшую сумму по итогам двух дней ($195 тыс.) выиграла хорошо известная по прошлым соревнованиям команда Fluoroacetate в составе двух человек – Амата Камы (Amat Cama) и Ричарда Чжу (Richard Zhu). По итогам двух дней Pwn2Own Fluoroacetate стала чемпионом уже третий раз подряд.
В первый день соревнований участники Pwn2Own заработали $195 тыс. за эксплуатацию уязвимостей в смарт-телевизорах, маршрутизаторах и смартфонах. Для взлома им было предоставлено 17 различных устройств, в том числе «умный» дисплей Portal и шлем виртуальной реальности Oculus Quest от Facebook. Оба эти устройства участвовали в Pwn2Own впервые.
Участники соревнований осуществили 10 попыток взлома, и большинство из них оказались успешными. Команде Fluoroacetate удалось взломать смарт-телевизоры Sony X800G и Samsung Q60, «умную» аудиоколонку Amazon Echo и смартфон Xiaomi Mi9, а также похитить изображение с Samsung Galaxy S10 через NFC.
Команда Flashback взломала «умные» маршрутизаторы NETGEAR Nighthawk Smart WiFi Router (R6700) и TP-Link AC1750 Smart WiFi Router. Команда F-Secure Labs попыталась взломать маршрутизатор TP-Link и смартфон Xiaomi Mi9, однако попытки оказались успешными только частично.
Во второй день соревнований участники Fluoroacetate смогли выполнить произвольный код на Samsung Galaxy S10, за что получили $50 тыс. Команды Flashback и F-Secure Labs взломали маршрутизатор TP-Link AC1750, получив $20 тыс. каждая. Во второй день F-Secure Labs все-таки удалось взломать Xiaomi Mi9 и заработать $30 тыс.
https://www.securitylab.ru/news/502389.php
SecurityLab.ru
Pwn2Own 2019 в Токио: Итоги двух дней соревнований
В ходе соревнований участники обнаружили 18 ранее неизвестных уязвимостей в Amazon Echo, Xiaomi Mi9, Galaxy S10 и пр.