安基网 首页 资讯 安全报 查看内容

Pwn2Own竞赛第一天就发放195000美元漏洞奖励

2019-11-8 09:02| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 在Pwn2Own Tokyo 2019竞赛的第一天,白帽子们展示了电视、路由器和智能手机的漏洞,总共获得了19.5万美元的奖励。这次竞赛是由Zero Day Initiative组织的,目标设备共有17款,承诺提供超过75万美元的现金和奖品。这也是Pwn2Own首次把Portal smart display和来自Facebook的Oculus Quest虚拟现实头盔列为 ...

在Pwn2Own Tokyo 2019竞赛的第一天,白帽子们展示了电视、路由器和智能手机的漏洞,总共获得了19.5万美元的奖励。

这次竞赛是由Zero Day Initiative组织的,目标设备共有17款,承诺提供超过75万美元的现金和奖品。这也是Pwn2Own首次把Portal smart display和来自Facebook的Oculus Quest虚拟现实头盔列为目标。

参赛者在第一天总共进行了10次攻击尝试,大部分都成功了。而第二天进行七次尝试。

ZDI表示,当天一开始,Fluoroacetate团队的Amat Cama和Richard Zhu就利用设备内置浏览器的javascript“越界读取”漏洞破解了一台索尼X800G电视,赚得了15000美元的奖励。在实际场景中,攻击者只要诱骗受害者用电视的内置浏览器访问一个恶意网站,就会得到一个目标机器的反弹shell。

该团队还通过整数溢出控制了一台亚马逊Echo设备,获得了6万美元的奖励;同样又是整数溢出,获得了一台三星Q60电视的反弹shell,得到1.5万美元的奖励。

Cama和Zhu还通过一个特别制作的恶意网站从一部小米Mi9智能手机上窃取了一张照片,得到2万美元的奖励。除此之外还有三星Galaxy S10,他们通过NFC也窃取到一张照片,获得了3万美元。

Flashback团队的Pedro Ribeiro和Radek Domanski在局域网内控制了NETGEAR Nighthawk智能WiFi路由器(R6700),并在广域网也入侵成功,远程修改了固件,使设备在重置时依然保留后门,他们因此获得了5000美元的奖励。

而针对局域网中TP-Link AC1750智能WiFi路由器的远程命令执行也为他们带来了5000美元的收入。

最后一个是F-Secure实验室,他们试图侵入TP-Link路由器和小米Mi9手机。两次尝试都只取得部分成功,但仍因可以从小米手机中窃取一张照片而得到了2万美元。之所以只是部分成功,是因为有些漏洞已被厂商提前知晓,进行了修补。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场

来源:https://nosec.org/home/detail/3143.html

原文:https://www.securityweek.com/bug-hunters-earn-195000-hacking-tvs-routers-phones-pwn2own

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6756523333333811724/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部