O evento de hacking Pwn2Own Toronto 2022, que acontece no Canadá durante essa semana, já registrou invasões em smartphones top de linha no seu primeiro dia. Especificamente na terça-feira (06), uma equipe hackeou um Samsung Galaxy S22 por duas vezes.
O celular da Samsung teve uma vulnerabilidade zero-day explorada com sucesso: na terceira tentativa, a equipe de hackers STAR Labs conseguiu realizar um ataque de validação de entrada imprópria.
Zero-day: brecha de segurança descoberta em algum sistema ou dispositivo que ainda não foi explorada
Uma vulnerabilidade zero day, ou ataque de dia zero, é uma brecha de segurança descoberta em algum sistema ou dispositivo que ainda não foi explorada – o que permite ao fabricante ou desenvolvedor corrigir o erro antes que caia na selva do cibercrime.
- Outra equipe, a Chum, encontrou mais uma vulnerabilidade e também conseguiu invadir o aparelho
Pelos feitos, a STAR Labs levou um prêmio de US$ 50 mil e a Chim angariou US$ 25 mil, cerca de R$ 260 mil e R$ 130 mil, respectivamente na conversão da moeda.
Vale notar que os Samsung Galaxy S22 utilizados rodavam com a última versão disponível e atualizada do Android.
Prova da STAR Labs
As vulnerabilidades
Obviamente, como as vulnerabilidades são novas e ainda exploráveis, elas não foram reveladas ao público. Existem apenas algumas imagens que indicam momentos da exploração.
Para a Forbes, a Samsung comentou o caso dizendo que “que leva a segurança muito a sério e está comprometida em fornecer uma experiência segura e protegida para nossos clientes. Estamos trabalhando para aumentar ainda mais a segurança de nossos dispositivos lançando um patch de segurança em dezembro. Enquanto isso, recomendamos que os usuários baixem apenas aplicativos confiáveis e mantenham seus dispositivos atualizados com o software mais recente para garantir o mais alto nível de proteção possível”.
Fontes