Есть такая забава у хакеров, что-то типа Олимпиады, называется Pwn2Own. Собираются разные команды, озвучиваются цели, например, “Ломаем защиту Ворда” или “Хакаем аутентификацию у Микрософт Тимз”. Команды затем подписываются выполнить различного рода задачи, и по общему количеству задач и их сложности получаются очки и зарабатываются места в общем зачёте. Также команды получают неплохие денежные призы — ибо конторы обычно платят несколько десятков тысяч долларов за обнаруженные дыры.
Лучшей командой стали STAR Labs — международная команда хакеров с основном из азиатских стран (Корея, Вьетнам, и.д.). Но лично мне интереснее не то, кто лучший хакер — очень талантливых людей довольно много, и азиатов, и бразильцев, и американцев, и русских. Интереснее то, какие цели хакеры выбрали для своей олимпиады, а какие были либо не в их области компетенции либо были посчитаны слишком сложными.
Лидером по взломанности оказался полностью пропатченный телефон Самсунг S22 на ОС Андроид (гы-гы-гы). Его взломали в первый же день, а на третий день состязания его взломали всего за 55 секунд, что стало новым рекордом состязания Pwn2Own. Использовалась дыра в недостаточно хорошей валидации ввода (блин, до сих пор? в 2022 году? рехнуться). Вообще этот несчастный телефон суммарно изнасиловали раз десять. Ждите обновлений от Самсунга.
А знаете, какие телефоны ни одна команда не взялась ломать?
Гугл Пиксель и Эппл айФон.
О чем это говорит? Да о том, блин, о чём я уже сколько раз писал в этой стенгазете — когда одна и та же контора делает и само железо телефона, и она же пишет к нему ОС — получается намного более непробиваемая и намного менее глючная платформа, чем когда одни шлёпают железо, а другие рисуют к нему операционку. Когда “айн фирма, айн бетрибссистем, айн телефон” — возникает некая синергия, недоступная просто сборищу смежников.
Делайте выводы. Самсунгу пламенный привет в очередной раз.
https://www.zerodayinitiative.com/blog/2022/5/18/pwn2own-vancouver-2022-the-results