ที่งาน Pwn2Own โตเกียวปีนี้มีการแข่งขันแฮกอุปกรณ์ IoT และคอมพิวเตอร์ขนาดเล็กจำนวนมาก โดยอุปกรณ์ตัวหนึ่งที่ถูกแฮกได้คือ Amazon Echo Show ลำโพงอัจริยะของ Amazon
ผู้โจมตีสำเร็จคือทีม Fluoroacetate การโจมตีอาศัยการบังคับให้ Echo Show เชื่อมต่อกับ Wi-Fi ที่ไม่ปลอดภัย จากนั้นยิงหน้าเว็บเพื่อเจาะผ่านบั๊ก integer overflow ของ Chromium รุ่นเก่า
ปัญหาการไม่อัพเดตซอฟต์แวร์ต้นน้ำที่ออกแพตช์ความปลอดภัยมาแล้ว (patch gap) เป็นปัญหาใหญ่ของวงการ IoT ที่อุปกรณ์มักมีความสามารถสูงขึ้นเรื่อยๆ หลายครั้งมีเบราว์เซอร์เต็ม แต่กลับไม่ได้รับแพตช์ตามรอบเช่นเดียวกับพีซีหรือโทรศัพท์มือถือ
นอกจาก Echo Show แล้ว ทีม Fluoroacetate ยังสามารถเจาะ Samsung Galaxy S10 ผ่านทางโมเด็มโดยตั้งเสาเครือข่ายโทรศัพท์มือถือปลอม, และเจาะเราท์เตอร์ NETGEAR Nighthawk Smart WiFi Router (R6700) ผ่านทางพอร์ตแลน รวมทั้งหมดทำได้ 18.5 คะแนน เป็นแชมป์ Pwn2Own ครั้งที่สามของทีม ได้รางวัลรวม 195,000 ดอลลาร์ หรือประมาณ 6 ล้านบาท
ที่มา - Pwn2Own, TechCrunch
Richard Zhu และ Amat Cama ทีม Fluoroacetate