قرصانان يفوزان بـ60 ألف دولار لاختراقهما جهاز أمازون
شهدت مسابقة القرصنة السنوية “بي ون 2 أون” (Pwn2Own) تتويج باحثين أمنيين كأفضل القراصنة لهذا العام، بعد قيامهما بعرض واختبار العديد من عمليات القرصنة البارزة، بما في ذلك الهجوم على جهاز المساعدة المنزلية من أمازون إيكو (Echo).
وحصل أمات كاما وريتشارد تشو اللذان يشكلان فريق “فلوروآسيتات” (Team Fluoroacetate) على جائزة مالية قدرها ستون ألف دولار في برنامج مكافآت الثغرات، بعد تمكنهما من استغلال ثغرة في الإصدار الأحدث من أجهزة إيكو، وهو جهاز مساعدة منزلي مزود بكاميرا، ويدعم مساعد أمازون الرقمي أليكسا (Alexa).
وقال برايان جورنك مدير مبادرة “زيرو داي” (Zero Day) التابعة لشركة أمن المعلومات “تريند مايكرو” (Trend Micro) المسؤولة عن المسابقة: إن الباحثين وجدا أن الجهاز يستخدم إصدارًا أقدم من كروميوم (Chromium) –أبرز مشاريع المتصفحات مفتوحة المصدر من غوغل– وفيه ثغرة سمحت لهما بالسيطرة الكاملة على الجهاز عند الاتصال عن طريق شبكة “واي فاي” مشبوهة.
يُشار إلى أن هذا النوع من الثغرات يحدث عندما تحاول عملية رياضية إنشاء رقم، ولكن لا تتوفر لديها المساحة الكافية من الذاكرة، الأمر الذي يتسبب في تجاوز الرقم الذي لا يجد له مكانًا في الذاكرة إلى خارجها؛ وهو ما يمكن أن تكون له آثار أمنية على الجهاز.
وبعد التواصل مع أمازون، قالت “إننا نحقق في هذا البحث، وسنتخذ الخطوات المناسبة لحماية أجهزتنا استنادًا إلى تحقيقنا”، لكنها لم تحدد التدابير التي ستتخذها لإصلاح الثغرات الأمنية أو متى.
يُشار إلى أن جهاز “إيكو شو” لم يكن الجهاز الوحيد المتصل بالإنترنت في المعرض. ففي وقت سابق من العام الحالي، قال القائمون على المسابقة إنه كانت لدى متسللين فرصة لاختراق جهاز “بورتال” التابع لفيسبوك.