Flagship telefoni kompanije Samsung su redovno u vrhu ponude na tržištu pametnih telefona i gotovo da su nepogrešiv izbor za većinu korisnika. Ipak, ovi uređaji nisu bez mana, što su demonstrirali takmičari na ovogodišnjem Pwn2Own hakerskom takmičenju.
Tokom četvorodnevnog događaja u Torontu, hardver kompanije Samsung je hakovan od strane nekoliko takmičara, a dvojica su čak uspjela da pronađu zero-day ranjivosti i uspješno ih eksploatišu. Međutim, trećeg dana na Pwn2Own 2022, bezbjednosni stručnjaci su uspjeli da hakuju Galaxy S22 za manje od 60 sekundi.
Pentest Limited stručnjaci su demonstrirali zero-day ranjivost Galaxy S22 telefona i koristili Improper Input Validation napad ne bi li dobili pristup uređaju za samo 55 sekundi. Pošto je Pwn2Own takmičenje sponzorisano od strane Trend Micro, kompanije za IT bezbjednost, tim je osvojio pet poena i kući odnio nagradu od 25.000 dolara.
Treba napomenuti da su svi hakovani Galaxy S22 telefoni pokretali Android 13, odnosnosno One UI 5 korisnički interfejs, kao i da je na svim uređajima bila instalirana najnovija sigurnosna zakrpa - kako i nalažu pravila Pwn2Own takmičenja.
Ranjivost Samsung Galaxy S22 telefona
Iako je Pwn2Own završen hakovanjem Samsung-ovog flagship telefona za 2022. godinu u rekordnom roku, zapravo je hakovan u četiri odvojena navrata tokom takmičenja.
Tokom prvog dana, dvije zero-day ranjivosti otkrivene su na uređaju i takmičari su ih uspješno eksploatisali. Za one koji nisu upoznati - zero-day je vrsta ranjivosti koja je ranije bila nepoznata proizvođaču uređaja, a zakrpa još nije dostupna.
STAR labs tim pronašao je i eksploatisao prvu zero-day ranjivost Galaxy S22 telefona, zbog čega su nagrađeni sa 50.000 dolara i pet poena, dok je takmičar Chim je pronašao drugu ranjivost i uspešno je demonstrirao, zaradivši u procesu 25.000 dolara i pet poena.
Treba li biti zabrinut?
Ukoliko posjedujete Samsung Galaxy S22, vijest da je vaš telefon hakovan za manje od 60 sekundi je svakako zabrinjavajuća i bojazan za privatnost svog uređaja i podataka na njemu je razumljiva. Međutim, ovo je dobra vijest.
Hakerska takmičenja kao što je Pwn2Own su osmišljena tako da daju priliku istraživačima sajber bezbjednosti i etičkim hakerima da pokažu svoje vještine, ali i da pruže vrijedne informacije proizvođačima čiji uređaji su hakovani. Ako bi sajber kriminalac otkrio zero-day ranjivosti, to bi bio razlog za zabrinutost, jer bi mogao da ih koristi u napadima prije nego što Samsung bude imao priliku da ih zakrpi. Međutim, u ovom slučaju, Samsung i drugi proizvođači su potpuno upoznati sa dešavanjima na Pwn2Own takmičenju, pa njihovi inženjeri vjerovatno trenutno rade na rješavanju ovih problema.
Samung nije bio jedini proizvođač čije uređaje su Pwn2Own takmičari hakovali - isto se desilo i sa uređajima kompanija Cisco, Netgear, Canon, Ubiquiti, Sonos, Lexmark, Synology i Western Digital.