شهدت مسابقة القرصنة السنوية Pwn2Own Tokyo 2019 تتويج باحثين أمنيين كأفضل القراصنة بعد تطوير واختبار العديد من عمليات القرصنة البارزة. وتم منح ما مجموعه 195000 دولار لفائدة 12 من الأخطاء بما في ذلك الهجوم على جهاز المساعدة المنزلية من أمازون إيكو Amazon Echo.

وحاز أمات كاما وريتشارد تشو اللذان يشكلان فريق فلوروآسيتات Team Fluoroacetate على جائزة مالية قدرها 60,000 دولار أمريكي في برنامج مكافآت الثغرات. وذلك بعد تمكنهما من استغلال ثغرة في الإصدار الأحدث من أجهزة إيكو Echo Show 5، وهو جهاز مساعدة منزلي مزود بكاميرا ويدعم مساعد أمازون الرقمي أليكسا Alexa.

وقال برايان جورنك مدير مبادرة زيرو داي Zero Day التابعة لشركة أمن المعلومات تريند مايكرو Trend Micro التي تقيم مسابقة Pwn2Own : إن الباحثين وجدا أن الجهاز يستخدم إصدارًا أقدم من كروميوم Chromium فيه ثغرة سمحت لهما بالسيطرة الكاملة على الجهاز عند الاتصال عن طريق شبكة واي فاي مشبوهة.

واختار الثنائي Amazon Echo Show 5 لهدفهم لاستخدام الجهاز في حاوية RF لضمان عدم حدوث أي تدخل خارجي، واستخدموا تدفقًا صحيحًا في JavaScript لتهديد الجهاز والسيطرة عليه. وبعد التواصل مع أمازون، قالت الشركة إنها سنحقق في هذا البحث وستتخذ الخطوات المناسبة لحماية أجهزتنا استنادًا إلى التحقيق، لكنها لم تحدد التدابير التي ستتخذها لإصلاح الثغرات الأمنية.

يُشار إلى أن جهاز إيكو شو لم يكن الجهاز الوحيد المتصل بالإنترنت في المعرض. ففي وقت سابق من العام الحالي، قال القائمون على المسابقة : إنه كان لدى متسللين فرصة لاختراق جهاز بورتال Portal التابع لفيسبوك. ومع ذلك، لم يتمكن المتسللون من اختراق الجهاز.

المصدر : Zero Day Initiative