Aconteceu em Tóquio, no Japão, a edição 2019 do Pwn2Own, evento hacker anual onde os participantes competem para ver quem consegue controle sobre um número maior de dispositivos definidos previamente pelos organizadores. A equipe vencedora foi a Fluoroacetate, composta pelos hackers Amat Cama e Richard Zhu, que já havia vencido duas edições anteriores.

O propósito do concurso, organizado pela Zero Day Initiative, é demonstrar a vulnerabilidade de aparelhos e software usados em larga escala. Todas as vulnerabilidades descobertas durante a competição são relatadas aos fabricantes para que possam ser corrigidas. Cada dispositivo invadido com sucesso dá à equipe pontos e um prêmio em dinheiro, e vence quem acumular mais pontos ao final de dois dias.

No primeiro dia a Fluoroacetate conseguiu controle sobre uma TV Sony X800G usando uma falha de JavaScript no navegador (2 pontos e US$ 15 mil), um Amazon Echo Show 5 usando um estouro de inteiros (6 pontos e US$ 60 mil), uma Smart TV Samsung Q60 (2 pontos, US$ 15 mil), um smartphone Xiaomi Mi 9 (2 pontos, US$ 20 mil), e um Samsung Galaxy S10 (3 pontos, US$ 30 mil).

Já no segundo dia a equipe atacou um Galaxy S10, conseguindo enviar um arquivo para o aparelho, o que lhes rendeu US$ 50 mil e mais 5 pontos. Em seguida a equipe conseguiu uma vitória parcial contra um roteador NETGEAR Nighthawk Smart WiFi Router (R6700), e outra contra o navegador do Galaxy S10. Com um total de 18,5 pontos os hackers da Fluoroacetate foram coroados “Masters of Pwn” e levaram para casa um prêmio de US$ 195.000.

No total o concurso distribuiu mais de US$ 315.000 em prêmios e conseguiu 18 diferentes bugs em vários produtos, que foram reportados aos respectivos fabricantes. Estes tem 90 dias para desenvovler uma correção, antes que os detalhes de como explorar as falhas sejam divulgados ao público.

Fonte: Zero Day Initiative