As explorações de dia zero estão no topo dos riscos de segurança online, pois os agentes de ameaças visam uma vulnerabilidade de software que é desconhecida por fornecedores de software como Google e Samsung. Em uma competição Pwn2Own em Toronto, Canadá, duas equipes de hackers de elite comprometeram o Samsung Galaxy S22 com dois ataques separados de dia zero.
O que é o evento Pwn2Own?
Pwn2Own é um evento de hacking de computador organizado duas vezes por ano pela Zero-Day Initiative (ZDI) da Trend Micro. Realizado pela primeira vez em abril de 2007 em Vancouver, o evento reúne algumas das melhores equipes de hackers para explorar vários dispositivos usando vulnerabilidades de ‘dia zero’ anteriormente desconhecidas. Esses dispositivos incluem telefones celulares, hubs de automação residencial, impressoras, roteadores sem fio, armazenamento conectado à rede e alto-falantes inteligentes.
Depois de explorar um dispositivo com sucesso, as equipes fornecem todos os detalhes aos fornecedores para que eles liberem um patch para corrigir o problema e recebam recompensas financeiras em troca. Este ano, as equipes podem ganhar prêmios em dinheiro de até US$ 200.000 por hackear os smartphones Google Pixel 6 e Apple iPhone 13. Além disso, as equipes podem ganhar bônus de $ 50.000 se as explorações forem executadas com privilégios no nível do kernel.
Samsung Galaxy S22 hackeado duas vezes no mesmo dia
Conforme relatado pela Forbes, a equipe do STAR Labs foi a primeira a explorar um dia zero em um dispositivo principal, executando o ataque de validação de entrada imprópria em sua terceira tentativa. Ganhando assim $ 50.000 e 5 pontos Master of Pwn por serem a primeira equipe a explorar uma vulnerabilidade de dia zero.
Algumas horas depois, a equipe do Chim apresentou com sucesso outra exploração de dia zero no principal dispositivo da Samsung, executando o mesmo ataque de validação de entrada imprópria. Ganhando assim $ 25.000 (50% do prêmio para a segunda rodada de segmentação do mesmo dispositivo) e 5 pontos Master of Pwn.
De acordo com as regras da competição, o primeiro vencedor de cada meta recebe a premiação total em dinheiro e os aparelhos em teste. Todos os outros vencedores recebem 50% do pacote de prêmios e pontos Master of Pwn completos.