Il Galaxy S23 di Samsung potrebbe essere uno degli smartphone Android più sicuri, ma non è invulnerabile. Nessun smartphone lo è, indipendentemente dal suo produttore. L’evento Pwn2Own in corso a Toronto, organizzato dalla Zero Day Initiative, mette in evidenza come gli elettronici di consumo siano sempre suscettibili di attacchi. Durante l’evento, sono state scoperte nuove vulnerabilità zero-day sia per il Galaxy S23 che per il Xiaomi 13 Pro.
Cos’è una vulnerabilità zero-day?
Una vulnerabilità zero-day è una vulnerabilità in un sistema informatico precedentemente sconosciuta ai suoi sviluppatori o a chiunque altro in grado di mitigarla. L’evento Pwn2Own della Zero Day Initiative incoraggia i ricercatori di sicurezza a segnalare privatamente queste vulnerabilità ai fornitori, offrendo ricompense in denaro.
Dettagli delle vulnerabilità
Nel primo giorno dell’evento Pwn2Own 2023 a Toronto, i ricercatori sono riusciti a sfruttare due vulnerabilità zero-day che colpiscono il Galaxy S23 e altre due vulnerabilità sul Xiaomi 13 Pro. Questi exploit erano precedentemente sconosciuti sia a Samsung che a Google (e Xiaomi) o a chiunque altro in grado di correggerli.
Secondo il blog della Zero Day Initiative, Star Labs SG ha sfruttato una lista permissiva di input consentiti contro il Galaxy S23, guadagnando $25.000 e 5 punti Master of Pwn. Il premio maggiore di $50.000 e 5 punti Master of Pwn è stato assegnato a Pentest Limited per aver eseguito una Validazione di Input Impropria sul Galaxy S23.
Queste vulnerabilità appena scoperte verranno probabilmente affrontate con futuri aggiornamenti di sicurezza, e i metodi di exploit saranno mantenuti segreti fino a quel momento.
I ricercatori di sicurezza hanno anche trovato vulnerabilità zero-day nel Xiaomi 13 Pro. Il Team Viettel ha guadagnato $40.000 per aver eseguito un attacco basato su un singolo bug contro il Xiaomi 13 Pro, mentre il NCC Group ha guadagnato $20.000 dimostrando una vulnerabilità zero-day sullo stesso dispositivo.
Queste rivelazioni sono avvenute solo nel primo giorno dell’evento Pwn2Own 2023 a Toronto. È molto probabile che verranno dimostrate altre vulnerabilità zero-day prima della conclusione dell’evento il 27 ottobre. Continueremo a tenervi aggiornati.