最近カナダのトロントで開催された年次コンピューターハッキングコンテスト「Pwn2Own」では、ハッカーが4日間のハッキングイベント中にサムスンの最新フラッグシップスマートフォン「ギャラクシーS22」を4回悪用することに成功した。
知らない人のために説明すると、Pwn2Own はゼロデイ イニシアチブ (ZDI) が毎年主催するハッキング コンテストで、倫理的なハッカー、サイバーセキュリティの専門家、その他数名の参加者が参加しました。
Pwn2Own Toronto 2022 は、消費者に焦点を当てたハッキング コンテストの 10 周年を記念しました。
Pwn2Own ハッキング コンテストでは、セキュリティ研究者が最新かつ最も人気のあるモバイル デバイスを悪用してスキルを実証し、主要なゼロデイ脆弱性をテクノロジー企業に公開します。
イベント後、ベンダーはこれらのバグに対するパッチを作成するために 90 日の猶予が与えられます。コンテストの勝者は、悪用したデバイスと賞金を受け取ります。
Samsung Galaxy S22 が複数回悪用される
Samsung Galaxy S22 は、Pwn2Own Toronto 2022 ハッキング コンテストの初日に 2 回の侵入に成功しました。
Team STAR Labs は、不適切な入力検証攻撃を実行することにより、3 度目の試みで Samsung の主力デバイスのゼロデイ脆弱性の悪用に初めて成功しました。優勝チームは、50,000 ドル、テスト対象のデバイス、および 5 Master of Pwn ポイントを獲得しました。
STAR Labs は、Samsung Galaxy S22 に対する 3 回目の試行で、不適切な入力検証攻撃を実行することができました。彼らは $50,000 と 5 Master of Pwn ポイントを獲得します。#P2Oトロント #Pwn2Own
チームは、エクスプロイトの試みに関する素晴らしいビデオを入手しました。https://t.co/69It9QBOy2 pic.twitter.com/20WyVDuV5b
— ゼロデイ イニシアチブ (@thezdi)2022 年 12 月 6 日
次に、別の参加者である Chim も、Samsung Galaxy S22 に対する不適切な入力検証攻撃のデモを成功させました。彼らは 25,000 ドル (同じデバイスをターゲットにした 2 ラウンド目の賞金パッケージの 50%) と 5 Master of Pwn ポイントを獲得しました。
甘い計算アクション!#Pwn2Own #P2Oトロント pic.twitter.com/3Fbi3SZE7h
— ゼロデイ イニシアチブ (@thezdi)2022 年 12 月 6 日
さらに、イベントの 2 日目には、脆弱性調査会社の Interrupt Labs が、Samsung Galaxy S22 に対して不適切な入力検証攻撃を実行することで、Samsung Galaxy S22 のハッキングに成功しました。コンテスト中に Galaxy S22 がハッキングされたのはこれが 3 回目であったため、チームはこのハッキング成功で 25,000 ドル (賞金総額の 50%) を獲得しました。
3 日目、Pentest Limited と呼ばれるチームは、「不適切な入力検証」攻撃を使用して Samsung Galaxy S22 をジェイルブレイクし、55 秒以内にデバイスにアクセスすることに成功しました。
コンテストのルールによると、4 つのケースすべてで、デバイスは、Samsung からの最新アップデートがすべてインストールされた Android オペレーティング システムの最新バージョン (Android 13) を実行していました。
「サムスンはセキュリティを真剣に受け止めており、お客様に安全で安心なエクスペリエンスを提供することに尽力しています。 12月中にセキュリティパッチをリリースすることで、デバイスのセキュリティをさらに強化することに取り組んでいます」とサムスンはイベント1日目後にフォーブスへの声明で述べた。
「一方で、可能な限り最高レベルの保護を確保するために、ユーザーには信頼できるアプリケーションのみをダウンロードし、デバイスを最新のソフトウェアで更新し続けることをお勧めします。」
Samsung 以外に、Pwn2Own Toronto 2022 でハッキングおよび悪用された製品には、Cisco、NETGEAR、Canon、Ubiquiti、Sonos、Lexmark、Synology、Western Digital のルーター、スマート スピーカー、プリンター、ネットワーク接続ストレージ (NAS) デバイスがありました。