2019年11月11日 11時30分セキュリティ

Amazon EchoやGalaxy S10へのハッキング成功でセキュリティ研究者が賞金2100万円を獲得

東京で開催されたハッキングコンテスト「Pwn2Own 2019」で、2人のセキュリティ研究者がAmazon Echo Show 5やSamsung Galaxy S10などをハッキングして、賞金19万5000ドル(約2100万円)を獲得しました。

Zero Day Initiative — Pwn2Own Tokyo 2019 – Day One Results
https://www.zerodayinitiative.com/blog/2019/11/6/pwn2own-tokyo-2019-day-one-results

Zero Day Initiative — Pwn2Own Tokyo 2019 – Day Two Final Results
https://www.zerodayinitiative.com/blog/2019/11/7/pwn2own-tokyo-2019-day-two-final-results

Pwn2Ownは、トレンドマイクロが運営する脆弱性の報告に金銭的なインセンティブを与えてメーカーとセキュリティ研究者を結びつけようという活動を行う「Zero Day Initiative(ZDI)」が主催するハッキングコンテスト。Pwn2Ownの参加者はチームごとにハッキングを実演して、ハッキングの成否や難度、そして発見の重要性に応じた賞金とポイントを獲得し、その多寡を競います。

Pwn2Own 2019で圧倒的な力を見せつけたのは、前回・前々回の大会の優勝者である、Amat Cama氏(写真左側)とRichard Zhu氏(写真右側)のチーム「Fluoroacetate」。

Fluoroacetateは、二進数の取り扱いメカニズムの中でプログラムがオーバーフローを起こす「整数オーバーフロー攻撃」を用いてAmazon Echo Show 5を攻略。Amazon Echo Sho 5は、オープンソースブラウザ「Chromium」の古いバージョンで動作しており、悪意のあるWi-Fiホットスポットに接続するとデバイスを完全にコントロールされるというバグが存在しているそうです。このハッキングで、Fluoroacetateは6万ドル(約660万円)と6ポイントを獲得。

Success! The @fluoroacetate duo successfully demonstrated their exploit against the #Amazon #Echo Show. They're back to the disclosure room to confirm and provide the details. #P2OTokyo pic.twitter.com/lwvkqclTsN
— Zero Day Initiative (@thezdi) November 6, 2019

このほか、2日間でSonyの4K Ultra HDディスプレイX800GやSamsung Galaxy S10、Xiaomi Mi9に対するハッキングを成功させて19万5000ドル(約2100万円)を獲得し、大会を3連覇しました。

That brings #Pwn2Own Tokyo 2019 to a close. Congrats to @fluoroacetate on successfully defending their Master of Pwn title. In two days, they racked up $195,000 for their research. Congrats! pic.twitter.com/q5OezDzqzY
— Zero Day Initiative (@thezdi) November 7, 2019