Hai nhà nghiên cứu bảo mật Amat Cama và Richard Zhu đã chiến thắng các tin tặc hàng đầu trong năm nay tại cuộc thi tấn công của Pwn2Own (Pwn2Own hacking contest) sau khi phát triển và thử nghiệm một số khai thác cấu hình cao, bao gồm cả một cuộc tấn công vào Amazon Echo.
Amat Cama và Richard Zhu, những người sáng lập nhóm Fluoroacetate, đã dành được giải thưởng 60.000 USD cho việc khai thác tràn số nguyên để tấn công vào Amazon Echo Show 5 mới nhất, màn hình thông minh tích hợp trợ lý ảo Alexa.
Các nhà nghiên cứu phát hiện ra rằng thiết bị này sử dụng một phiên bản Chromium cũ hơn, cho phép họ chiếm quyền “kiểm soát hoàn toàn” nếu thiết bị được kết nối vào một điểm Wi-Fi độc hại, Brian Gorenc, Giám đốc Sáng kiến Zero Day (ZDI) của Trend Micro, tổ chức cuộc thi Pwn2Own cho biết.
Các nhà nghiên cứu đã thử nghiệm ở một nơi không có tần số vô tuyến để ngăn chặn bất kỳ sự can thiệp nào từ bên ngoài.
Amat Cama (trái) và Richard Zhu (phải), những người sáng lập nhóm Fluoroacetate. (Ảnh: ZDI)
Một lỗi tràn số nguyên xảy ra khi một phép toán học cố gắng tạo một số nhưng không có khoảng trống trong bộ nhớ của thiết bị, làm cho số đó tràn ra ngoài bộ nhớ được phân bổ của nó. Điều đó cho thấy bảo mật của thiết bị có vấn đề.
Amazon cho biết họ đang điều tra nghiên cứu này và sẽ thực hiện các bước thích hợp để bảo vệ các thiết bị dựa trên cuộc điều tra của nhóm, nhưng không cho biết các biện pháp cần thực hiện hoặc khi nào để khắc phục lỗ hổng.
Echo không phải là thiết bị kết nối Internet duy nhất tại cuộc thi này. Đầu năm nay, cuộc thi cho biết tin tặc sẽ có cơ hội xâm nhập vào Cổng thông tin Facebook, màn hình thông minh hỗ trợ cuộc gọi video khổng lồ của mạng xã hội này. Tuy nhiên, tin tặc vẫn chưa thể khai thác Cổng thông tin này.