Trong bối cảnh an ninh mạng ngày nay, các thiết bị điện tử cao cấp vẫn có thể đối mặt với nhiều thách thức. Galaxy S23 của Samsung đã được nghiên cứu cẩn thận tại sự kiện Pwn2Own 2023 diễn ra ở Toronto. Đáng ngạc nhiên, sản phẩm đã bị xâm phạm không phải một, không phải hai, mà đến bốn lần trong suốt sự kiện.
Theo báo cáo của Bleeping Computer, sự xâm phạm thành công đầu tiên được dàn dựng bởi Pentest Limited. Họ đã khai thác một điểm yếu của quá trình xác thực đầu vào trong Galaxy S23, cho phép nhóm thực thi mã trên thiết bị. Chiến công này đã mang lại cho họ giải thưởng $50 000 (≈ 1 228 500 000₫) và năm điểm Master of Pwn.
Không lâu sau, nhóm Star Labs SG tìm ra cách để hack vào thiết bị bằng cách lợi dụng danh sách các đầu vào được cho phép. Nỗ lực của họ đã được thưởng $25 000 (≈ 614 250 000₫) và năm điểm Master of Pwn. Bạn nên biết rằng các lần thể hiện quá trình hack tiếp theo trên cùng một danh mục thiết bị chỉ nhận được một nửa lượng tiền mặt so với lần thể hiện đầu tiên.
Vào ngày thứ hai của sự kiện, Bleeping Computer báo cáo rằng Galaxy S23 đã bị hack thêm hai lần nữa. Các nhà nghiên cứu bên Interrupt Lab đã khai thác một điểm yếu của quá trình xác thực đầu vào khác. Kế đến, nhóm ToChom lợi dụng lỗ hổng nằm trong danh sách các đầu vào được cho phép khác. Mỗi bên đều kiếm được $25 000 (≈ 614 250 000₫) và năm điểm Master of Pwn.
Trong tất cả các trường hợp trên, Galaxy S23 của Samsung đã được cập nhật lên phần mềm và bản vá bảo mật mới nhất.
Sự kiện Pwn2Own ở Toronto – khởi xướng bởi Zero Day Initiative của Trend Micro – là nơi mà các chuyên gia an ninh mạng tập hợp lại để tìm ra các điểm yếu trong các thiết bị hiện đại, bao gồm điện thoại, máy in và loa thông minh.
Sự kiện có tổng giải thưởng hơn một triệu đô la (tương đương 24,57 tỉ đồng), với phần thưởng danh giá nhất được dành riêng cho các lỗi zero-day trên điện thoại.
Việc khai thác thành công các thiết bị đến từ những gã khổng lồ công nghệ như Google và Apple có thể kiếm được tới $350 000 (≈ 8 599 500 000₫) cho người dự thi. Phần thưởng cao nhất này chỉ được lãnh bởi nhóm phát hiện ra một chuỗi khai thác hoàn chỉnh có thể mở quyền truy cập cấp nhân hệ điều hành trên iPhone 14 của Apple.
Star Labs – một trong những đội hack thành công Galaxy S23 – thường hay xác định thành công các lỗ hổng nghiêm trọng.
Theo một báo cáo riêng từ Bleeping Computer, Nguyễn Tiến Giang – một nhà nghiên cứu của Star Labs – trước đây đã xuất bản một bản phân tích kĩ thuật về một chuỗi các lỗ hổng trong Microsoft SharePoint Server. Chuỗi này bao gồm một lỗ hổng bỏ qua quá trình xác thực nghiêm trọng mà Giang đã khai thác thành công trong cuộc thi Pwn2Own tại Vancouver vào tháng Ba năm 2023, giành được phần thưởng $100 000 (≈ 2 457 000 000₫).
Các lỗ hổng được tiết lộ trong Samsung Galaxy S23 trong sự kiện Pwn2Own lần này nhấn mạnh tầm quan trọng của các cuộc điều tra bảo mật và khả năng vá phần mềm kịp thời.
Với mỗi bước nhảy vọt công nghệ, chiến lược sử dụng bởi những người lợi dụng điểm yếu trong phần mềm cũng phát triển theo. Điều này sinh ra một môi trường mà người bảo vệ và kẻ bóc lột liên tục thích nghi. Mỗi bên cố gắng dự đoán và chống lại bước đi tiềm năng của bên kia. Về phía người dùng, bạn nên cực kì cảnh giác khi tham gia vào thế giới công nghệ.
