ハッキングコンテストでEcho Show 5をハックしたチームが優勝。総額2100万円以上の賞金を獲得

昨年はiPhoneから消した写真を取り出しました

山本竜也(Tatsuya Yamamoto)
山本竜也(Tatsuya Yamamoto)
2019年11月11日, 午後 01:30 in security
0シェア
FacebookTwitter
Echo Show 5
11月6日~7日の2日間、表参道で開催された国際的なセキュリティカンファレンス「PacSec 2019」の一環として、恒例となっているハッキングコンテストPwn2Ownが行われました。今回のコンテストでは、はじめてホームオートメショーンカテゴリーが追加され、さっそくAmazonのスマートディスプレイEcho Show 5がハッキングされてしまいました。

Pwn2Ownは、スマートフォンやウェブブラウザ、ルーター、テレビなどいくつかのカテゴリーに分かれた製品を対象に、期間内にハッキングを行うというもの。ハッキングに成功すれば、製品とその内容に応じた賞金が提供されます。今回のコンテストでは、3チームが7カテゴリー8製品のハッキングに挑戦しました。

優勝したのは、Amat CamaとRichard ZhuによるFluoroacetateチーム。総額19万5000ドル(約2100万円)の賞金を手にしています。

Fluoroacetateチームは、今回初めて対象となったEcho Show 5のハッキングにも成功しており、この賞金は6万ドル(約650万円)でした。Echo Show 5は古いChromiumエンジンを利用しており、本家Chromiumではすでに修正済みのJavaScriptの整数オーバーフローバグを利用して、端末を制御下に置けたとのことです。

主催者のBrian Gorenc氏によると、このような、すでに修正パッチがあるにもかかわらず、それが適用されていないパッチギャップは、本コンテストでハッキングされたIoT機器の多くで、共通の要因だったとしています。

Fluoroacetateチームは、ほかにもSonyのテレビX800Gでシェルを実行したり、Xiaomi Mi9やGalaxy S10から写真を取得するのに成功しています。ちなみにこのチーム、2018年のコンテストでは、iPhoneから消した写真を取り出していました。


なお、コンテストで見つかったバグは、各ベンダーに開示され、90日以内にセキュリティパッチがリリースされる予定です。Echo Show 5をハッキングされたAmazonは、内容を調査しており、適切な処理を取るとコメントしてます。
 
 

 

TechCrunch 注目記事「新型コロナのソーシャルディスタンス(社会的距離戦略)を強力に支援するビデオチャットアプリ8選

新型コロナウイルス 関連アップデート[TechCrunch]
関連キーワード: amazon, chromium, echo show, echo show 5, exploit, gear, hack, hacking, home, internet, iot, personal computing, personalcomputing, pwn2own, security, smart speaker, trend micro, vulnerability
0シェア
FacebookTwitter

Sponsored Contents