В первый день Pwn2Own 2019 хакеры заработали $195 000 за взлом девайсов

Екатерина Быстрова 07 Ноября 2019 - 14:46

...

В первый день Pwn2Own 2019 хакеры заработали $195 000 за взлом девайсов

В первый день Pwn2Own, ежегодного состязания хакеров, специалистам удалось заработать в общей сложности $195 000 за обнаружение уязвимостей в телевизорах, маршрутизаторах и смартфонах. Напомним, что в этом году Pwn2Own проходит в Токио.

Организатором этого мероприятия уже который год выступает проект Trend Micro Zero Day Initiative (ZDI). Для исследователей предусмотрены вознаграждения — выделили сумму в $750 000.

По условиям конкурса, хакеры должны создать рабочие эксплойты для уязвимостей в 17 системах.

«Подошёл к концу первый день Pwn2Own Токио 2019. В общей сложности за этот день мы выплатили $195 000 за 12 уязвимостей. Экспертам удалось девять раз успешно пробить защиту семи устройств, принадлежавших пяти категориям», — говорится в посте ZDI.

Таким образом, Амат Кама и Ричард Чжу из команды Fluoroacetate заработали $15 000 за взлом Sony X800G TV. Специалисты использовали JavaScript-уязвимость чтения за пределами границ во встроенном браузере.

В теории атакующий мог бы использовать эту брешь для установки шелла на устройстве. Понадобилось бы только заманить жертву на определённый вредоносный сайт.

Помимо этого, Кама и Чжу получили $60 000 за взлом устройства Amazon Echo. Ещё $15 000 — за компрометацию Samsung Q60 TV.

Не обошлось и без эксплойтов для смартфонов. Команда Fluoroacetate положила себе в карман $20 000 за уязвимость в Xiaomi Mi9. Согласно описанному исследователями сценарию, заманив пользователя на определённый ресурс, можно извлечь фотографии с этого смартфона.

Ещё $30 000 Чжу и Кама получили за атаку, в ходе которой удалось украсть картинку с Samsung Galaxy S10. Для этого эксперты задействовали NFC.

Следующая главная новость »

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!

Екатерина Быстрова 23 Июня 2026 - 21:06

iOS Уязвимости программ Ошибки конфигурации программ Домашние пользователи

64% ИИ-приложений для iPhone оказались с дырой в защите

Исследователи из Wake Forest University обнаружили масштабную проблему в экосистеме iOS-приложений с искусственным интеллектом. Анализ показал, что сотни программ фактически оставляют открытыми ключи доступа к нейросетям и серверным компонентам, что позволяет злоумышленникам использовать их инфраструктуру в своих целях.

Для исследования специалисты разработали инструмент LLMKeyLens, который анализирует сетевой трафик приложений и выявляет утечки учетных данных, используемых для работы с OpenAI, Gemini, DeepSeek, Mistral и другими ИИ-сервисами.

Из более чем 38 тысяч приложений App Store исследователи отобрали 444 программы с подтверждёнными функциями на базе больших языковых моделей. Результаты оказались неприятными: у 282 приложений, или 64% выборки, были обнаружены утечки ключей доступа или других механизмов подключения к ИИ-сервисам.

Причем в 146 случаях проблема позволяла напрямую использовать чужие ресурсы. Некоторые приложения передавали API-ключи OpenAI и других провайдеров в открытом виде прямо в сетевых запросах. Другие скрывали ключи на сервере, но оставляли открытыми прокси-серверы, через которые любой желающий мог отправлять запросы к нейросетям.

Особенно часто проблемы встречались в приложениях для продуктивности, обучения, развлечений, здоровья и образа жизни. Лидером по доле уязвимых программ стала категория Health & Fitness.

Исследователи также обнаружили крайне небрежное отношение к защите токенов доступа. В некоторых случаях JWT-токены действовали годами, а отдельные системы выдавали их со сроком действия до 100 лет. Более того, некоторые серверы принимали даже просроченные токены.

После обнаружения проблем разработчиков всех 282 приложений уведомили об уязвимостях. Через 90 дней специалисты провели повторную проверку. Патчи выпустили только 78 приложений — это около 28% от числа уязвимых программ. Еще 66 приложений остались доступными для эксплуатации даже после уведомления.

Авторы исследования считают, что причина проблемы проста: многие разработчики стремятся максимально быстро интегрировать ИИ-функции и уделяют недостаточно внимания защите инфраструктуры.

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!