Флегшип телефоните на компанијата Samsung редовно се на врвот на понудата на пазарот на смартфони и се речиси непогрешлив избор за повеќето корисници. Сепак, овие уреди не се без недостатоци, како што покажаа учесниците на овогодинешниот натпревар за хакирање Pwn2Own.
За време на четиридневниот настан во Торонто, хардверот на Samsung беше хакиран од неколку конкуренти, а двајца дури успеаја да пронајдат zero-day пропусти и успешно да ги експлоатираат. Сепак, на третиот ден од Pwn2Own 2022, безбедносните експерти успеаја да го хакираат Galaxy S22 за помалку од 60 секунди.
Експертите од Pentest Limited ја демонстрираа ранливоста на телефонот Galaxy S22 во текот на денот и искористија Improper Input Validation напад за да добијат пристап до уредот за само 55 секунди. Бидејќи натпреварот Pwn2Own е спонзориран од Trend Micro, компанија за ИТ безбедност, тимот освои пет поени и однесе награда од 25.000 американски долари.
Треба да се напомене дека сите хакирани телефони Galaxy S22 работеа на Android 13, односно кориснички интерфејс One UI 5 и дека сите уреди ја имаа инсталирано најновиот безбедносен patch - како што налагаат правилата на натпреварот Pwn2Own.
Ранливост на телефонот Samsung Galaxy S22
Иако Pwn2Own заврши со хакирање на флегшип телефонот на Samsung за 2022 година во рекордно време, тој всушност беше хакиран во четири различни прилики за време на натпреварот.
Во текот на првиот ден, на уредот беа откриени два zero-day пропусти и натпреварувачите успешно ги искористија. За оние кои не се запознаени – zero-day е вид на ранливост што претходно била непозната за производителот на уредот и сè уште не е достапен patch за неа.
Тимот на STAR labs ја пронајде и ја искористи првата zero-day ранливост на телефонот Galaxy S22, заработувајќи им 50.000 долари и пет поени, додека конкурентот Chim ја пронајде втората ранливост и успешно ја демонстрираше, заработувајќи 25.000 долари и пет поени во процесот.
Дали треба да бидете загрижени?
Доколку поседувате Samsung Galaxy S22, веста дека вашиот телефон е хакиран за помалку од 60 секунди е секако загрижувачка и разбирлив е стравот за приватноста на вашиот уред и податоците на него. Сепак, ова е добра вест.
Хакерските натпревари како Pwn2Own се дизајнирани да им дадат можност на истражувачите за сајбер безбедност и етичките хакери да ги покажат своите вештини, но и да обезбедат вредни информации на производителите чии уреди се хакирани. Ако сајбер-криминалецот открие zero-day ранливости, тоа би било причина за загриженост, бидејќи може да ги користи во напади пред Samsung да има шанса да ги „закрпи“. Меѓутоа, во овој случај, Samsung и другите производители се целосно свесни за случувањата во натпреварот Pwn2Own, па нивните инженери веројатно моментално работат на решавање на овие проблеми.
Samsung не беше единствениот производител чии уреди беа хакирани од натпреварувачите на Pwn2Own - истото се случи со уредите од Cisco, Netgear, Canon, Ubiquiti, Sonos, Lexmark, Synology и Western Digital.
