گوشیهای سامسونگ دارای سیستم امنیت سخت افزاری داخلی هستند که به نام “ناکس” (Knox security) شناخته میشود و تقریباً همه گوشیهای هوشمند میانرده و پرچمدار این برند کرهای دارای چنین ویژگی خاصی هستند. اما با این حال، هکرهایی که در مسابقات هک Pwn2Own شرکت داشتند، به طرز شگفتآوری توانستند آسیبپذیریهای روز صفر زیادی را در گلکسی اس 22 پیدا کنند! (آسیبپذیری Zero-Day یا روز صفر یک ریسک امنیتی در یک قطعه نرمافزار است که به صورت عمومی شناخته شده نیست و شرکت سازنده از آن آگاهی ندارد و از همین رو استفاده از چنین آسیبپذیریهایی عموماً نرخ موفقیت بالایی برای هکرها دارد). این مسابقات در حال حاضر در شهر تورنتو از کشور کانادا ادامه دارد. با دیجی رو همراه باشید.
Zero Day Initiative (به اختصار ZDI) همه ساله میزبان مسابقات هک Pwn2Own است تا در آن، مهارتهای محققان امنیتی و هکرها در کشف آسیبپذیریهای روز صفر به چالش کشیده میشود. تاکنون، به لطف هکرهای شرکت کننده در این رویداد، آسیبپذیریهای مهمی در دستگاههای NAS (ذخیرهسازی متصل به شبکه) از کمپانی نام آشنای HP، نتگیر (NETGEAR)، ساینالوژی (Synology)، سونوس (Sonos)، تی پی لینک (TP-Link)، کانن (Canon)، لکسمارک (Lexmark) و وسترین دیجیتال (Western Digital) کشف شده است.
گوشی هوشمند پرچمدار سامسونگ، یعنی گلکسی اس 22 نیز توسط بسیاری از هکرها مورد بررسی گرفت و به سرعت نقصهای امنیتی آن کشف شدند. اما در این بین، دو نقص مهم در گلکسی اس 22 توسط تیم STAR Labs و تیم Chim فاش شد. این اتفاق در اولین روز Pwn2Own رخ داد و به هکرها امکان دسترسی کامل به این گوشی رده بالا را داد. تیمی به نام Pentest Limited نیز موفق شد یک بار دیگر گوشی هوشمند نگون بخت سامسونگ را در روز دوم هک کند.
اما عجیبترین اتفاق در روز سوم مسابقات رخ داد؛ جایی که گلکسی اس 22 در کمتر از 55 ثانیه با موفقیت هک شد و این اتفاق تاکنون چهار بار در این رقابتها رخ داده است! حفرههای امنیتی عمده در پرچمدار سامسونگ باعث شده تا این دستگاه به کانون توجه هکرها در رقابتهای Pwn2Own تبدیل شود. آسیبپذیریهای روز صفر کشف شده در این گوشی نشان میدهد که هک شدن آن در کمتر از یک دقیقه کاملاً امکانپذیر است و کارشناسان امنیتی Pentest Limited نیز ادعا کردهاند که آنها با حمله به بخش “اعتبار سنجی ورودی نامناسب” (improper input validation) توانستهاند به محتوای گوشی دسترسی پیدا کنند.
لازم به ذکر است که بر اساس قوانین مسابقه Pwn2Own، دستگاه مورد بررسی باید از جدیدترین نسخه سیستم عامل اندروید و همچنین آخرین بهروزرسانی ارائه شده از سوی شرکت سازنده استفاده کند. همچنین، بد نیست بدانید که کارشناسان امنیتی هک کننده گلگسی اس 22، برای تحقیقات خود 25000 دلار جایزه و پنج امتیاز دریافت کردند. با اینکه شرکت کنندگان در مسابقات Pwn2Own از خبرهترین افراد حوزه هک و امنیت هستند، اما هک شدن کامل گلکسی اس 22 در کمتر از یک دقیقه، نشان میدهد که برخلاف ادعاهای سامسونگ این گوشی دارای نقصهای امنیتی قابل توجهی است.