Quatro falhas de dia zero foram encontradas no Galaxy S23 e no Xiaomi 13 Pro durante o Pwn20wn Toronto 2023, evento de hacking que aconteceu nesta terça-feira (24).
Os resultados foram publicados em tempo real, à medida que eram verificados. Os responsáveis pelas descobertas levaram para casa prêmios entre US$ 20 mil e US$ 50 mil. Entre os problemas encontrados estavam uma brecha que permitia atacar o sistema do celuar Samsung.
Falhas de Dia Zero do Galaxy S23
O maior dos prêmios foi para a equipe Pentest Limited, que conseguiu executar uma “Improper input validation” (“Validação de entrada inadequada”, em tradução livre). Eles ganharam US$ 50 mil e 5 pontos Master of Pwn.
Foram encontradas duas falhas de Dia Zero no Galaxy S23.Fonte: GettyImages
Essa brecha permite contornar a verificação de entradas, possibilitando o redirecionamento de fluxo de dados. Em termos gerais, a função permite alterar o controle de um recurso do dispositivo, ou executar código arbitrário.
O outro prêmio, este de US$ 25 mil e 5 pontos Master of Pwn, ficou para o time STAR Labs SG. Eles descobriram que o Galaxy S23 contém uma grande lista de inputs permitidos, condição que deixa o sistema mais vulnerável.
Falhas Dia Zero do Xiaomi 13 Pro
O maior prêmio para os hackers do Xiaomi 13 Pro foi de US$ 40 mil e 4 pontos Master of Pwn. O Team Viettel conseguiu executar um ataque de bug único contra o dispositivo. Neste caso, porém, não foram dados detalhes sobre a brecha.
O Xiaomi 13 Pro teve duas brechas descobertas no evento.Fonte: Xiaomi
Por fim, o NCC Group levou para casa US$ 20 mil e 4 pontos Master of Pwn por conseguir executar um ataque contra o Xiaomi 13 Pro. Não foram dados detalhes sobre a vulnerabilidade.
Empresas devem trabalhar em correções
Eventos como o Pwn20wn Toronto 2023 fazem parte da Zero Day Initiative, um grupo cujo objetivo é incentivar a descoberta segura de brechas do tipo Dia Zero e denunciá-los de forma privada às empresas. A intenção é permitir que as companhias tomem conhecimento sobre as falhas antes que elas se tornem um problema real entre os consumidores.
Agora, a Xiaomi e a Samsung poderão trabalhar em correções para as vulnerabilidades, sem que criminosos tenham aproveitado a vulnerabilidade.