Sponsored Contents

securityの最新記事

Image credit:
Save

ハッキングコンテストでEcho Show 5をハックしたチームが優勝。総額2100万円以上の賞金を獲得

昨年はiPhoneから消した写真を取り出しました

山本竜也(Tatsuya Yamamoto)
2019年11月11日, 午後01:30 in security
42シェア
6
36,"likes":36
0

連載

注目記事

1億画素超えカメラ搭載スマホ、シャオミ「Mi Note 10」のグローバル版を試す。日本での発売に期待
12

1億画素超えカメラ搭載スマホ、シャオミ「Mi Note 10」のグローバル版を試す。日本での発売に期待

View

11月6日~7日の2日間、表参道で開催された国際的なセキュリティカンファレンス「PacSec 2019」の一環として、恒例となっているハッキングコンテストPwn2Ownが行われました。今回のコンテストでは、はじめてホームオートメショーンカテゴリーが追加され、さっそくAmazonのスマートディスプレイEcho Show 5がハッキングされてしまいました。

Pwn2Ownは、スマートフォンやウェブブラウザ、ルーター、テレビなどいくつかのカテゴリーに分かれた製品を対象に、期間内にハッキングを行うというもの。ハッキングに成功すれば、製品とその内容に応じた賞金が提供されます。今回のコンテストでは、3チームが7カテゴリー8製品のハッキングに挑戦しました。

優勝したのは、Amat CamaとRichard ZhuによるFluoroacetateチーム。総額19万5000ドル(約2100万円)の賞金を手にしています。

Fluoroacetateチームは、今回初めて対象となったEcho Show 5のハッキングにも成功しており、この賞金は6万ドル(約650万円)でした。Echo Show 5は古いChromiumエンジンを利用しており、本家Chromiumではすでに修正済みのJavaScriptの整数オーバーフローバグを利用して、端末を制御下に置けたとのことです。

主催者のBrian Gorenc氏によると、このような、すでに修正パッチがあるにもかかわらず、それが適用されていないパッチギャップは、本コンテストでハッキングされたIoT機器の多くで、共通の要因だったとしています。

Fluoroacetateチームは、ほかにもSonyのテレビX800Gでシェルを実行したり、Xiaomi Mi9やGalaxy S10から写真を取得するのに成功しています。ちなみにこのチーム、2018年のコンテストでは、iPhoneから消した写真を取り出していました。


なお、コンテストで見つかったバグは、各ベンダーに開示され、90日以内にセキュリティパッチがリリースされる予定です。Echo Show 5をハッキングされたAmazonは、内容を調査しており、適切な処理を取るとコメントしてます。



広告掲載についてのお問い合わせはad-sales@oath.com までお知らせください。各種データなどはこちらのメディアガイドをあわせてご覧ください。

42シェア
6
36,"likes":36
0

Sponsored Contents