Galaxy S23 e Xiaomi 13 Pro são hackeados em evento ao vivo

Imagem de: Criminosos criam anúncios do WhatsApp Web com malware que rouba Pix

Quatro falhas de dia zero foram encontradas no Galaxy S23 e no Xiaomi 13 Pro durante o Pwn20wn Toronto 2023, evento de hacking que aconteceu nesta terça-feira (24).

Os resultados foram publicados em tempo real, à medida que eram verificados. Os responsáveis pelas descobertas levaram para casa prêmios entre US$ 20 mil e US$ 50 mil. Entre os problemas encontrados estavam uma brecha que permitia atacar o sistema do celuar Samsung.

Falhas de Dia Zero do Galaxy S23

O maior dos prêmios foi para a equipe Pentest Limited, que conseguiu executar uma “Improper input validation” (“Validação de entrada inadequada”, em tradução livre). Eles ganharam US$ 50 mil e 5 pontos Master of Pwn.

Foram encontradas duas falhas de Dia Zero no Galaxy S23.Foram encontradas duas falhas de Dia Zero no Galaxy S23.Fonte:  GettyImages 

Essa brecha permite contornar a verificação de entradas, possibilitando o redirecionamento de fluxo de dados. Em termos gerais, a função permite alterar o controle de um recurso do dispositivo, ou executar código arbitrário.

O outro prêmio, este de US$ 25 mil e 5 pontos Master of Pwn, ficou para o time STAR Labs SG. Eles descobriram que o Galaxy S23 contém uma grande lista de inputs permitidos, condição que deixa o sistema mais vulnerável.

Falhas Dia Zero do Xiaomi 13 Pro

O maior prêmio para os hackers do Xiaomi 13 Pro foi de US$ 40 mil e 4 pontos Master of Pwn. O Team Viettel conseguiu executar um ataque de bug único contra o dispositivo. Neste caso, porém, não foram dados detalhes sobre a brecha.

O Xiaomi 13 Pro teve duas brechas descobertas no evento.O Xiaomi 13 Pro teve duas brechas descobertas no evento.Fonte:  Xiaomi 

Por fim, o NCC Group levou para casa US$ 20 mil e 4 pontos Master of Pwn por conseguir executar um ataque contra o Xiaomi 13 Pro. Não foram dados detalhes sobre a vulnerabilidade.

Empresas devem trabalhar em correções

Eventos como o Pwn20wn Toronto 2023 fazem parte da Zero Day Initiative, um grupo cujo objetivo é incentivar a descoberta segura de brechas do tipo Dia Zero e denunciá-los de forma privada às empresas. A intenção é permitir que as companhias tomem conhecimento sobre as falhas antes que elas se tornem um problema real entre os consumidores.

Agora, a Xiaomi e a Samsung poderão trabalhar em correções para as vulnerabilidades, sem que criminosos tenham aproveitado a vulnerabilidade.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *