جایزه ۶۰ هزار دلاری برای دو هکر نمایشگر Show 5 آمازون
دو محقق امنیت شبکه جایزهی نقدی بهترین هکرهای سال رقابت امنیتی را بهدلیل نفوذ به سیستم نمایشگر Show 5 آمازون دریافت کردند.
آمات کاما و ریچارد ژو که در قالب تیمی بهنام Team Fluoroacetate در رقابت امنیت شبکهای Pwn2Own شرکت کرده بودند، جایزهی نقدی ۶۰ هزار دلاری این رقابت را ازآنِ خود کردند. این دو محقق امنیت شبکه در این رقابت موفق شدند از نقص امنیتی سرریز بافر به سیستم نمایشگر Show 5 آمازون نفوذ کنند. این نمایشگر هوشمند بهکمک الکسا کار میکند.
این دو محقق کشف کردند این نمایشگر از نسخهی قدیمیتر مرورگر کرومیوم گوگل استفاده میکند که مرورگری متنباز است و در زمان ساخت مشکلات امنیتی داشت. برایان گورک، مدیراجرایی این رقابت، اعلام کرد مشکلات امنیتی موجود در مرورگر کرومیوم به کاما و ژو اجازه داد بعد از اتصال دستگاه به شبکهی وایفای ناشناس، کنترل کامل آن را دراختیار بگیرند. این دو محقق از عملیات خود بهکمک مجموعهای از فرکانسهای امواج رادیویی محافظت کردند و اجازه ندادند دخالت بیرونی در مسیر عملیاتشان اتفاق بیفتد.
گورک دراینباره به پایگاه خبری تککرانچ گفت:این ایراد در بسیاری از دستگاههای IoT دیده شد که در این رقابت حضور داشتند.
نقص امنیتی سرریز بافر زمانی اتفاق میافتد که سیستم مبتنیبر محاسبات ریاضی، تلاش میکند یک عدد صحیح بسازد؛ اما برای انجام این کار جای خالی کافی روی حافظهی خود ندارد. بهدلیل نبود فضای خالی، دادههای موجود روی حافظهی مجاور سرریز میشود و این سرریز شدن، ممکن است مشکلات امنیتی زیادی برای دستگاه ایجاد کند.
آمازون در واکنش به این مسئله اعلام کرد در حال بررسی نتایج این تحقیقات است و بهزودی تصمیمهای لازم برای محافظت از محصولات خود را اتخاذ خواهد کرد. این شرکت اعلام نکرده چه تصمیمهایی اتخاذ خواهد کرد و چه زمانی این تصمیمها اعلام خواهند شد.
محصولات سری اکو، تنها محصولات آزمایششده در این رقابت نبودند. برگزارکنندگان این رقابت اوایل سال جاری میلادی اعلام کردند هکرهای شرکتکننده در این مسابقه موفق شدهاند به پرتال فیسبوک نیز نفوذ کنند. پرتال فیسبوک صفحهنمایش تماس تصویری این شبکهی اجتماعی است که این هکرها موفق نشدند روی پرتال فیسبوک عملیات خرابکارانه انجام دهند.
