A mai dinamikus kiberbiztonsági környezetben a csúcskategóriás eszközök továbbra is kihívásokkal nézhetnek szembe. A Samsung Galaxy S23 a torontói Pwn2Own 2023 eseményen került a figyelem középpontjába. Meglepő módon nem egyszer, nem kétszer, hanem négyszer került veszélybe az esemény során.
Amint arról a Bleeping Computer beszámolt, az első sikeres áttörést a Pentest Limited szervezte. A Galaxy S23 helytelen bemeneti ellenőrzési gyengeségét használta ki, ami lehetővé tette a csapat számára, hogy kódot hajtson végre az eszközön. Ezzel a bravúrral 50.000 dolláros jutalmat és 5 Master of Pwn pontot kapott.
Nem sokkal később a Star Labs SG csapatának is sikerült feltörnie ugyanazt az eszközt az engedélyezett bemenetek listája segítségével. Erőfeszítéseit 25.000 dollárral és további 5 Master of Pwn ponttal jutalmazták. Érdemes megjegyezni, hogy a hack későbbi bemutatói ugyanazon az eszközkategórián a pénzdíj felét kapják, de a teljes Master of Pwn pontokat.
Az esemény második napján a Samsung Galaxy S23-at még kétszer feltörték. Az Interrupt Lab kutatói egy másik helytelen bemenet-ellenőrzési gyengeséget tudtak kihasználni, míg a ToChom csapata követhette az engedélyezett bemenetek kihasználásának egy másik megengedő listáját. Mindketten 25.000 dollárt kerestek és 5 Master of Pwn pontot. Mindegyik esetben a Samsung Galaxy S23 a legújabb szoftvert futtatta a legfrissebb biztonsági javításokkal.
A Trend Micro Zero Day Initiative által vezetett Pwn2Own Toronto esemény a kiberbiztonsági szakemberek összejövetelét szolgálja, hogy feltárják a kortárs kütyük gyenge pontjait. Ez a kínálat, amely többek között okostelefonokat, nyomtatókat és intelligens hangszórókat foglal magában, szabványos beállításokkal és a legfrissebb biztonsági javításokkal működik.
Az esemény több mint 1 millió dollár készpénzt és nyereményeket kínál, a legmagasabb jutalmat pedig a mobiltelefonok nulladik napi hibáinak tartják fenn. Például az olyan technológiai óriások eszközeinek sikeres kihasználása, mint a Google és az Apple, akár 350.000 dollárt is jelenthet a versenyzőknek, ami a legmagasabb jutalom, amelyet egy Apple iPhone 14 kernelszintű hozzáférése esetén fizetnek ki.
A Star Labs, az egyik csapat, amely feltörte a Galaxy S23-at, már korábban is azonosította a kritikus sebezhetőségeket. A Bleeping Computer külön jelentésében a Star Labs kutatója, Nguyen Tien Giang (Janggggg) korábban technikai elemzést tett közzé a Microsoft SharePoint Server sebezhetőségeinek láncolatáról. Ez a lánc tartalmazott egy kritikus hitelesítési megkerülési hibát, amelyet Janggggg sikeresen kihasznált a Pwn2Own Vancouver versenyen 2023 márciusában, és 100.000 dollár jutalmat kapott.
A Samsung Galaxy S23-ban a Pwn2Own Toronto esemény során feltárt sebezhetőségek rávilágítanak a folyamatban lévő biztonsági vizsgálatok és az időszerű szoftverfejlesztések kritikus jellegére. Minden egyes technológiai ugrással párhuzamosan fejlődnek azok a stratégiák, amelyeket ezeknek a gyenge pontoknak a megtalálására és kiaknázására törekszenek.
Ez a dinamika egy bonyolult tánchoz hasonlít, ahol mind a védők, mind a potenciális kizsákmányolók folyamatosan alkalmazkodnak, és megpróbálják megjósolni és ellensúlyozni a másik következő lépését, hangsúlyozva az éberség és a proaktív intézkedések szükségességét a technológiai világban.
