Dos investigadores de seguridad ganaron $ 60,000 por piratear un Amazon Echo

Publicado por: La Redacción - kfiguereo@juventud.gob.do

Dos investigadores de seguridad han sido coronados como los mejores piratas informáticos en el concurso de piratería Pwn2Own de este año después de desarrollar y probar varias vulnerabilidades de alto perfil, incluido un ataque contra un Amazon Echo.

Amat Cama y Richard Zhu, que forman el equipo Fluoroacetate, obtuvieron $ 60,000 en recompensas de errores por su explotación de desbordamiento de enteros contra el último Amazon Echo Show 5, una pantalla inteligente con tecnología de Alexa.

Los investigadores descubrieron que el dispositivo usa una versión anterior de Chromium, los proyectos de navegador de código abierto de Google, que se bifurcaron durante algún tiempo durante su desarrollo. El error les permitió tomar el “control total” del dispositivo si estaba conectado a un punto de acceso WiFi malicioso, dijo Brian Gorenc, director de la Iniciativa Zero Day de Trend Micro, que organizó el concurso Pwn2Own .

Los investigadores probaron sus hazañas en un recinto de blindaje de radiofrecuencia para evitar cualquier interferencia externa.

“Esta brecha en el parche fue un factor común en muchos de los dispositivos IoT comprometidos durante el concurso”, dijo Gorenc a TechCrunch.

Amat Cama (izquierda) y Richard Zhu (derecha), que forman el equipo Fluoroacetate. (Imagen: ZDI)

Un error de desbordamiento de enteros ocurre cuando una operación matemática intenta crear un número pero no tiene espacio en su memoria, lo que hace que el número se desborde fuera de su memoria asignada. Eso puede tener implicaciones de seguridad para el dispositivo.

Cuando llegó, Amazon dijo que estaba “investigando esta investigación y tomará las medidas apropiadas para proteger nuestros dispositivos en función de nuestra investigación”, pero no dijo qué medidas tomaría para corregir las vulnerabilidades, ni cuándo.

El Echo no fue el único dispositivo conectado a Internet en la feria. A principios de este año, el concurso dijo que los piratas informáticos tendrían la oportunidad de piratear un portal de Facebook, la pantalla inteligente habilitada para videollamadas del gigante de las redes sociales. Los hackers, sin embargo, no pudieron explotar el Portal.

Fuente: TechCrunch