Der japanische Ableger des Hackercontests Pwn2Own fand Anfang November 2019 statt. Austragungsort der PacSec war die Aoyama St. Grace Kathedrale in Tokio. Der diesjährige Wettbewerb fand am 6. und 7. November statt und war der größte Hackercontest des Jahres 2019 in Japan. Vorgegeben waren für drei Teilnehmergruppen insgesamt sieben Kategorien. Als Preisgelder wurden 750.000 USD ausgelobt. Zusätzlich wurde – wie auf bei jedem dieser Events – der Titel des Master of Pwn (MoP) vergeben, zu dem natürlich die MoP Designjacke gehört.

Gute Erfolge bei Zero Day Wettbewerb

Veranstalter TrendMicro hatte die diesjährige Zero Day Initiative mehrere Arten von Smartphones, smarte Lautsprecher, Router und Smart TVs als Angriffsziele vorgegeben und war positiv von den Ergebnissen überrascht. Nahezu alle Geräte wurden „geknackt“ und – wie üblich – als Erfolgsprämie von den Hackerteams „konfisziert“. Bisher wurden 315.000 USD an die Teilnehmer ausgeschüttet und 18 relevante Sicherheitslücken entdeckt.

Master of Pwn Tokyo 2019

Der Titel Master of Pwn Tokyo 2019 ging an das Hacker-Duo Fluoroacetate, die am Ende für alle Hacks eine Erfolgsprämie von 195.000 USD bekamen.

Die Hackerkrone erhielten sie u.a. für den erfolgreichen Angriff auf den Echo Show 5 Lautsprecher von Amazon. Mittels JavaScript lösten sie eine integer overflow (Speicherfehler) aus und übernahmen die Kontrolle über das smart Device. Diese Aktion wurde mit der Teilsumme von 60.000 USD belohnt. Die weiteren Gelder wurden für die erfolgreichen Angriffe au den Smart-TV X800G von Sony und das Smartphone Xiaomi Mi9 sowie das Samsung Galaxy 10 gezahlt. Bei dem Samsung Gerät nutzten die Profis die NFC Komponente und einen Bug in JavaScript JIT und konnten ihren Erfolg mittels Bildschirmfoto belegen.

Knapp hinter den Erstplatzierten landete das Team Flashback, das bereits am ersten Tag eine Gesamtprämie von 30.000 USD erstritt. Durch das Umgehen der Authentifizierung konnten sie den Zugriff auf die Shell des Netgear-Routers R6700 erlangen und in einem zweiten Hack die Firmware komplett verändern, sodass ihre Payloads auch durch einen Werk-Reset nicht mehr kompromittiert wurden. Danach hackten sie den AC1750 von TP-Link und führten eigene Codes aus. Sie nutzten dafür gleich drei Sicherheitslücken des Gerätes aus.

Hersteller werden informiert und müssen reagieren

Für die Hersteller sind Hackercontests wichtige Veranstaltungen Vertreter von Facebook, Samsung, Apple, Google, Amazon, Samsung, Xiaomi, Oppo und Huawei sind auch bei diesem Contest vor Ort und erhalten die Möglichkeit, den Hackern Fragen zu den Angriffen zu stellen. Echte, neue und zu 100% nachgewiesene Zero Day Exploits werden den Herstellern sofort gemeldet und ab dann läuft eine Frist von 90 Tagen, um die Lücke zu schließen und dies zu veröffentlichen. Reagieren die Hersteller nicht oder geben keine Kommentare zur Behebung der Lücken ab, kann das ZDI eine „eingeschränkte Empfehlung „ mit Informationen zur Schadensbegrenzung an die Nutzer herausgeben.