Các tin tặc tham gia sự kiện hack Pwn2Own khét tiếng ở Toronto, Canada đã tìm thấy một số lỗ hổng zero-day nghiêm trọng khi cố gắng hack điện thoại Galaxy S22.
Trong sự kiện Pwn2Own Toronto 2022 nổi tiếng, Galaxy S22 đã bị các tin tặc khác nhau xử lý. Pwn2Own là một cuộc thi hack do Zero Day Initiative (ZDI) tổ chức hàng năm, mang đến cho tin tặc và các nhà nghiên cứu bảo mật cơ hội thể hiện kỹ năng của họ trong khi khám phá các lỗ hổng zero-day.
Các tin tặc khác nhau đã đưa ra ánh sáng các lỗ hổng “zero-day” nghiêm trọng trong bộ định tuyến, máy in, loa thông minh và thiết bị NAS của HP, NETGEAR, Synology, Sonos, TP-Link, Canon, Lexmark và Western Digital. Tuy nhiên, các lỗ hổng ấn tượng nhất đã được tìm thấy trên smartphone cao cấp mới nhất của Samsung, Galaxy S22.
Vào ngày đầu tiên của Pwn2Own Toronto, nhóm STAR Labs và một thí sinh có tên là Chim đã chứng minh hai lỗ hổng nghiêm trọng trong Galaxy S22 cho phép tin tặc truy cập vào toàn bộ smartphone. Mẫu smartphone này lại bị tấn công vào ngày thứ hai bởi một nhóm có tên Pentest Limited.
Vào ngày thứ ba, các thí sinh cũng hack được Galaxy S22 lần thứ tư kể từ khi cuộc thi bắt đầu, và lần này họ làm được điều đó chỉ trong 55 giây. Các nhà nghiên cứu bảo mật từ Pentest Limited đã trình bày về lỗ hổng zero-day có trong Galaxy S22, lỗ hổng này sử dụng cuộc tấn công “Xác thực đầu vào không đúng cách” để truy cập thiết bị trong vòng chưa đầy một phút.
Nhờ phát hiện của họ, các nhà nghiên cứu bảo mật đã nhận được 5 điểm và giành được giải thưởng 25.000 USD. Trong cả bốn trường hợp, theo thể lệ cuộc thi, các thiết bị đều chạy phiên bản mới nhất của hệ điều hành Android và tất cả các bản cập nhật hiện có đã được cài đặt.
Tất cả các hacker có mặt tại sự kiện rõ ràng đều có trình độ hack rất cao. Tuy nhiên, một vụ hack trong vòng chưa đầy một phút chứng tỏ rằng các smartphone không phải là nhà vô địch về bảo mật. Do đó, người dùng được khuyến cáo nên luôn cài đặt các bản cập nhật bảo mật mới nhất trên smartphone của mình.