Galaxy S23 e Xiaomi 13 Pro são hackeados em evento ao vivo

Quatro falhas de dia zero foram encontradas no Galaxy S23 e no Xiaomi 13 Pro durante o Pwn20wn Toronto 2023, evento de hacking que aconteceu nesta terça-feira (24). 

Os resultados foram publicados em tempo real, à medida que eram verificados. Os responsáveis pelas descobertas levaram para casa prêmios entre US$ 20 mil e US$ 50 mil. Entre os problemas encontrados estavam uma brecha que permitia atacar o sistema do celuar Samsung.

Notícias relacionadas

Seis jovens turistas morrem por suspeita de envenenamento por metanol em Laos

Foguete desenvolvido por estudantes quebra recordes de distância e velocidade

O mistério do satélite na órbita da Terra que se moveu e ninguém sabe por quem

Falhas de Dia Zero do Galaxy S23

O maior dos prêmios foi para a equipe Pentest Limited, que conseguiu executar uma "Improper input validation" ("Validação de entrada inadequada", em tradução livre). Eles ganharam US$ 50 mil e 5 pontos Master of Pwn.

Essa brecha permite contornar a verificação de entradas, possibilitando o redirecionamento de fluxo de dados. Em termos gerais, a função permite alterar o controle de um recurso do dispositivo, ou executar código arbitrário.

O outro prêmio, este de US$ 25 mil e 5 pontos Master of Pwn, ficou para o time STAR Labs SG. Eles descobriram que o Galaxy S23 contém uma grande lista de inputs permitidos, condição que deixa o sistema mais vulnerável.

Falhas Dia Zero do Xiaomi 13 Pro

O maior prêmio para os hackers do Xiaomi 13 Pro foi de US$ 40 mil e 4 pontos Master of Pwn. O Team Viettel conseguiu executar um ataque de bug único contra o dispositivo. Neste caso, porém, não foram dados detalhes sobre a brecha.

Por fim, o NCC Group levou para casa US$ 20 mil e 4 pontos Master of Pwn por conseguir executar um ataque contra o Xiaomi 13 Pro. Não foram dados detalhes sobre a vulnerabilidade.

Empresas devem trabalhar em correções

Eventos como o Pwn20wn Toronto 2023 fazem parte da Zero Day Initiative, um grupo cujo objetivo é incentivar a descoberta segura de brechas do tipo Dia Zero e denunciá-los de forma privada às empresas. A intenção é permitir que as companhias tomem conhecimento sobre as falhas antes que elas se tornem um problema real entre os consumidores.

Agora, a Xiaomi e a Samsung poderão trabalhar em correções para as vulnerabilidades, sem que criminosos tenham aproveitado a vulnerabilidade.