Especialistas também hackearam automatizador residencial da Amazon. Especialistas Richard Zhu e Amat Cama venceram competição de segurança explorando falhas em vários dispositivos.
Zero Day Initiative/Divulgação
A competição de segurança Pwn2Own, realizada em Tóquio nos dias 6 e 7 de novembro, distribuiu US$ 315 mil para três grupos de especialistas que revelaram 16 ataques, sendo 13 inéditos. As equipes conseguiram explorar falhas em celulares da Samsung e da Xiaomi, em roteadores da TP-Link e da Netgear, em televisores da Samsung e da Sony, e no Amazon Echo.
A Pwn2Own é uma competição de segurança já tradicional organizada pela consultoria de segurança Zero Day Initiative (ZDI), que hoje é parte da Trend Micro. A competição foi uma das primeiras a oferecer prêmios públicos para a apresentação de ataques ou falhas de segurança e causou polêmica em suas primeiras edições. O pagamento ou premiação de falhas é hoje uma ocorrência cotidiana e várias empresas possuem programas de recompensa para caçadores de brechas.
Além do prêmio em dinheiro, o formato atual da competição pontua os participantes de acordo com a sofisticação dos ataques demonstrados para definir um vencedor.
Esta edição foi liderada do início ao fim pelo time Fluoroacetate, formado pelos especialistas Amat Cama e Richard Zhu. Foi a terceira vitória deles na competição, somando US$ 195 mil (cerca de R$ 780 mil) aos prêmios de US$ 215 mil (R$ 860 mil) que ganharam em Tóquio em 2018 e US$ 375 mil (R$ 1,5 milhão) recebidos na edição canadense, em maio.
Também participaram da competição os times da F-Secure Labs, um quarteto que levou US$ 70 mil (R$ 280 mil), e o Flashback, outra dupla que ganhou US$ 50 mil (R$ 200 mil).
Todas os detalhes técnicos dos ataques e falhas demonstradas são repassados para os fabricantes dos dispositivos, que podem fornecer atualizações de software para corrigir os problemas e proteger os usuários. Enquanto não houver atualização disponível, as técnicas de ataque permanecerão em sigilo.
Automatizador residencial da Amazon foi o primeiro da categoria a ser atacado na competição Pwn2Own. Brecha foi avaliada em US$ 60 mil.
Thiago Lavado/G1
Brecha de R$ 240 mil
O ataque mais valioso da competição foi realizado contra o automatizador residencial Amazon Echo Show 5. Embora dispositivos desta categoria estivessem presentes em edições anteriores do evento, esta foi a primeira vez que um deles foi atacado.
Amat Cama e Richard Zhu exploraram uma falha na interpretação de JavaScript (uma linguagem usada em páginas web) para obter o controle total do aparelho. Com isso, um hacker poderia ouvir conversas ou controlar os demais dispositivos inteligentes conectados ao automatizador. Os organizadores da ZDI deram US$ 60 mil (R$ 240 mil) pela demonstração, que foi realizada com o Echo dentro de uma gaiola contra interferência de ondas eletromagnéticas.
Além do Amazon Echo, estavam disponíveis o Google Nest Hub Max. O Portal, do Facebook, e duas câmeras de segurança, a Amazon Cloud Cam Security Camera e Nest Cam IQ Indoor, completavam a lista de aparelhos da "internet das coisas", mas nenhum participante inscreveu ataques contra esses aparelhos.
Televisores e celulares hackeados
Dois aparelhos de TV foram atacados, ambos pela dupla Fluoroacetate. Eles exploraram erros de programação nos navegadores pré-instalados dos televisores Sony X800G e a Samsung Q60 para quebrar as restrições impostas a páginas web, o que permitiria a eles instalar programas ou roubar informações armazenadas na memória.
Pela terceira vez na competição, um celular da Samsung foi hackeado com uma brecha de banda base, ou seja, pela própria conexão celular.
Usando uma estação base (torre celular) falsa, Amat Cama e Richard Zhu conseguiram implantar arquivos na memória do Samsung Galaxy S10, o que deveria ser bloqueado pela segurança do telefone.
Esse ataque garantiu o segundo maior prêmio da competição para a dupla: US$ 50 mil (R$ 200 mil).
O Xiaomi Mi9, por sua vez, foi hackeado por falhas no navegador e na conexão de curta distância (NFC). O time do F-Secure Labs fez o celular da Xiaomi enviar uma foto armazenada na memória para outro aparelho, sem autorização específica para o envio da imagem. Uma brecha semelhante também foi explorada no Galaxy S10.
Roteadores atacados
Os especialistas demonstraram vários ataques contra os roteadores de internet e Wi-Fi Netgear Nighthawk Smart WiFi e TP-Link AC1750. As falhas permitiam a execução de comandos nos roteadores, inclusive a reinstalação do firmware (sistema operacional embutido).
Uma alteração do firmware não é desfeita com a restauração das configurações de fábrica, garantindo a presença de um hacker na rede atacada.
Controlando o roteador de uma vítima, um hacker poderia desviar as conexões para sites falsos para roubar senhas ou mudar o conteúdo das páginas visitadas.
Dúvidas sobre segurança, hackers e vírus? Envie para
[email protected]Selo Altieres Rohr
Ilustração: G1
