Gli hacker che partecipano al famoso evento di hacking Pwn2Own a Toronto, in Canada, sono riusciti a trovare diverse vulnerabilità critiche zero-day mentre cercavano di entrare in un telefono Galaxy S22.
Durante il famoso evento Pwn2Own Toronto 2022, il Galaxy S22 è stato sfruttato da diversi hacker. Come promemoria, Pwn2Own è una competizione annuale di hacking organizzata dalla Zero Day Initiative (ZDI), che offre agli hacker e ai ricercatori di sicurezza l’opportunità di dimostrare le proprie capacità scoprendo vulnerabilità zero-day.
I vari hacker hanno scoperto vulnerabilità critiche zero-day in router, stampanti, smart speaker e dispositivi NAS (Network Attached Storage) di HP, NETGEAR, Synology, Sonos, TP-Link, Canon, Lexmark e Western Digital. Tuttavia, le vulnerabilità più impressionanti sarebbero state trovate nell’ultimo smartphone Samsung top di gamma, il Galaxy S22.
Galaxy S22 violato a tempo di record
Nel primo giorno del Pwn2Own di Toronto, il team STAR Labs e un concorrente noto come Chim hanno dimostrato due vulnerabilità critiche nel Galaxy S22 che hanno permesso agli hacker di accedere all’intero smartphone. Lo smartphone è stato nuovamente violato il secondo giorno da un team chiamato Pentest Limited.
Il terzo giorno, i partecipanti sono riusciti ad hackerare il Samsung Galaxy S22 per la quarta volta dall’inizio della competizione, e questa volta in soli 55 secondi. I ricercatori di sicurezza di Pentest Limited hanno presentato una dimostrazione di una vulnerabilità zero-day per il Galaxy S22, che utilizza un attacco Improper Input Validation per ottenere l’accesso al dispositivo in meno di un minuto.
I ricercatori di sicurezza hanno ricevuto cinque punti e hanno vinto un premio di 25.000 dollari per la loro scoperta. In tutti e quattro i casi, secondo le regole del concorso, i dispositivi erano dotati dell’ultima versione del sistema operativo Android e tutti gli aggiornamenti disponibili erano stati installati.
Tutti gli hacker presenti all’evento hanno ovviamente un livello molto alto di capacità di hacking. Tuttavia, un hack in meno di un minuto dimostra che lo smartphone non è un campione di sicurezza. Si consiglia pertanto di installare sempre gli ultimi aggiornamenti di sicurezza sui propri smartphone.
