I partecipanti alla competizione Pwn2Own, evento che si è svolto a Vancouver chiamano a raccolta e premiando i ricercatori di sicurezza per identificare vulnerabilità in varie piattaforme, hanno mostrato vulnerabilità del Samsung Galaxy S22 e vulnerabilità zero-day in router, stampanti, smart speaker e NAS di HP, NETGEAR, Synology, Sonos, TP-Link, Canon, Lexmark, e Western Digital.
Ricercatori di Interrupt Lab hanno dimostrato un exploit che ha permesso di controllare il dispositivo Samsung top di gamma. L’attacco ha consentito ai ricercatori di guadagnare 25.000$, metà del premio previsto perché nel secondo giorno dell’evento per il dispositivo in questione era già la terza falla evidenziata. Altre due falle sono state rese note da ricercatori di STAR Labs e da un partecipante noto come Chim, evidenziando due explot zero day utilizzabili con il Galaxy S22. Tutte e tre le vulnerabilità sono state testate con gli ultimi aggiornamenti Android disponibili.
Nel secondo giorno dell’evento atri 281.500$ sono stati distribuiti dall’iniziativa Zero Day di Trend Micro per 17 vulnerabilità individuate in altre categorie di prodotti.
Nei primi due giorni di Pwn2Own, sono stati distribuiti 681.250$, premiando vulnerabilità per categorie quali: telefoni, hub per la domotica, stampanti, router wireless, NAS e smart speaker, tutti con gli ultimi aggiornamenti disponibili.
Ai ricercatori sono stati offerti premi di 200.000$ per individuare vulnerabilità su iPhone 13 di Apple e Pixel 6 di Google. Per quanto concerne i dispositivi di Apple e Google, sul piatto erano offerti altri 50.000$ di bonus per chi fosse riuscito a dimostrare exploit che permettevano di ottenere privilegi a livello di kernel. Il premio massimo era di 250.000$ per chi fosse riuscito a superare vari step per ottenere l’accesso completo a livello kernel.
A proposito di sicurezza, Veracode – azienda specializzata in soluzioni di sicurezza – afferma che il 24% delle applicazioni del settore tecnologico contiene vulnerabilità considerate come a rischio elevato: il loro sfruttamento potrebbe causare problemi critici per l’applicazione.
I dati sono stati pubblicati nel documento State of Software Security (SoSS) report v12 che Veracode pubblica annualmente; l’edizione di quest’anno è il frutto dell’analisi di 20 milioni di scansioni relative a mezzo milione di applicazioni nei settori tecnologico, manifatturiero, sanitario, governativo, dei servizi finanziari e della vendita al dettaglio. Complessivamente, in termini percentuali, il comparto tecnologico è al secondo posto per applicazioni che contengono falle di sicurezza (79%), poco meglio del settore pubblico (82%). Il mondo tecnologico si colloca a metà classifica in termini di percentuale di vulnerabilità corrette.
Configurazione dei server, dipendenze non sicure e perdita di informazioni sono i tipi più comuni di vulnerabilità scoperti dall’analisi dinamica delle applicazioni tecnologiche, ampiamente simili ad altri comparti; il segmento mostra tuttavia la disparità più elevata rispetto alla media del settore per quanto riguarda i problemi crittografici e la perdita di informazioni, forse a seguito del fatto che gli sviluppatori nel mondo tecnologico conoscono meglio le sfide legate alla protezione dei dati.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione del nostro sito.