在東京舉行的今年Pwn2Own駭客競賽中,兩名網絡安全研究人員,因發現了亞馬遜最新Alexa加持的Echo Show 5智能顯示器和三星Galaxy S10的漏洞,摘取「頂級駭客」的桂冠,並獲得6萬美元獎金。

Pwn2Own活動由Zero Day Initiative(趨勢科技零日計劃)組織主辦,主要邀請「白帽」駭客,尋找大型科技公司產品中以前未知的漏洞,並可以因此獲得高額報酬。

由卡瑪(Amat Cama)和朱(Richard Zhu)兩人組成了Fluoroacetate團隊,開發並測試了幾個引人注目的進攻性軟件。

兩人發現,Echo Show 5使用了舊版的Chromium,這是谷歌的開源瀏覽器。新發現的漏洞允許他們在設備連接到惡意Wi-Fi熱點時,「完全控制」該設備。研究人員在射頻屏蔽外殼中測試了他們的發現,以防止任何外部干擾。

亞馬遜已經表示,該公司正在「調查這項研究」,並將在必要時採取行動進行修復,但亞馬遜沒有提供修補漏洞的時間表。

主辦此次競賽的趨勢科技零日計劃主管Brian Gorenc說:「這種補丁漏洞在此次測試所用設備中很普遍。」

與此同時,卡馬和朱還利用Java Script中的一個漏洞獲取了三星Galaxy S10上的照片,為此他們贏得了3萬美元獎金。在對三星電視和小米筆記本電腦進行漏洞測試後,他們總共獲得了19.5萬美元獎金。

現在,提供這些設備的公司有90天時間通過軟件更新來修覆漏洞,然後才會向公眾公佈細節。

Echo並非展會上唯一的聯網設備。今年稍早,該競賽稱,駭客將有機會侵入Facebook門戶(Facebook Portal),這是社交媒體巨頭Facebook的支持視頻通話的智能顯示器。但是,駭客對之所做的攻擊都失敗了,未能找出漏洞。◇