នៅក្នុងព្រឹត្តិការណ៍ប្រកួតប្រជែងហេគចូលឧបករណ៍ចល័ត Pwn20wn 2018 mobile hacking competition ដែលបានប្រព្រឹត្តិទៅនាទីក្រុង Tokyo កាលពីថ្ងៃទី ១៣-១៤ ខែវិច្ឆិកា កន្លងទៅនេះ ក្រុម white-hat hackers បានបញ្ចេញសមត្ថភាពរបស់ពួកគេក្នុងការហេគចូលទៅក្នុងស្មាតហ្វូន ដែលដំណើរការនូវប្រព័ន្ធប្រតិបត្តិការចុងក្រោយបង្អស់។
ស្មាតហ្វូនចំនួនបីប្រភេទត្រុវបានហេគ គឺ iPhone X, Samsung Galaxy S9 និង Xiaomi Mi6 នៅក្នុងការប្រកួតមួយដែលត្រូវបានរៀបចំដោយក្រុមហ៊ុន Trend Micro មានឈ្មោះថា Zero Day Initiative (ZDI) ដែលរង្វាន់ដែលឈ្នះសរុបមានចំនួន $325,000 ។
អ្នកវាយប្រហារជាច្រើនក្រុម មកពីបណ្តាប្រទេសជាច្រើន ឬក៏តំណាងឲ្យក្រុមហ៊ុនសន្តិសុខ IT បានរកឃើញនូវចំនុចខ្សោយ Zero-days សរុបចំនួន ១៨ នៅក្នុងឧបករណ៍ចល័តដែលផលិតដោយ Apple, Samsung, និង Xiaomi ក៏ដូចជាបង្កើតកូដដើម្បីធ្វើការគ្រប់គ្រងឧបករណ៍នោះទាំងស្រុងផងដែរ។
Apple iPhone X Running iOS 12.1 — GOT HACKED!
ក្រុមអ្នកស្រាវជ្រាវ Fluoroacetate ដែលមានលោក Richard Zhu និង Amat Cama បានរកឃើញចំនុចខ្សោយចំនួនពីរ និងវាយលុកបានជោគជ័យទៅលើ Apple iPhone X តាមរយៈ Wi-Fi។ ជាការបង្ហាញឲ្យកាន់តែច្បាស់ ពួកគាត់បានធ្វើការទាញយករូបភាពដែលបានលប់ចេញពីក្នុង iPhone ហើយបង្ហាញដល់ម្ចាស់រូបទៀតផង។ ពួកគាត់ទទួលបានរង្វាន់ចំនួន ៥មឺុនដុល្លា។
Samsung Galaxy S9 — Also, GOT HACKED!
ក្រៅពី iPhone X ក្រុម Fluoroacetate ក៏បានហេគចូល Samsung Galaxy S9 ដោយការវាយលុកចូលទៅកាន់ memory heap overflow នៅក្នុង baseband component ហើយទាញយកនូវកូដដើម្បីដំណើរការ។ ក្រុមនេះទទួលបានប្រាក់រង្វាន់ចំនួន ៥មឺុនដុល្លា ។
ចំនុចខ្សោយបីផ្សេងទៀតត្រូវបានរកឃើញដោយក្រុម MWR Labs ដែលធ្វើការវាយលុកដោយជោគជ័យទៅលើ Samsung Galaxy S9 តាមរយៈ Wi-Fi ដោយការបង្ខំឲ្យឧបករណ៍នោះតំឡើងកម្មវិធីណាមួយតាមតែខ្លួនចង់បាននៅលើ Samsung Galaxy S9 នោះ។ MWR Labs ទទួលបានប្រាក់រង្វាន់បីមឺុនដុល្លា។
Xiaomi Mi6 — Yes, This Too GOT HACKED!
ក្រុម Fluoroacetate ក៏បានធ្វើការវាយលុកដោយជោគជ័យទៅលើ Xiaomi Mi6 តាមរយៈ NFC (near-field communications) ដែលទទួលបានរង្វាន់ចំនួន បីមឺុនដុល្លាផងដែរ។
ក្នុងថ្ងៃទី២នៃការប្រកួត ក្រុម Fluoroacetate ក៏បានជោគជ័យវាយលុកទៅលើចំនុចខ្សោយនៅក្នងុ JavaScript engine នៃ web browser របស់ Xiaomi Mi6 smartphone ដែលអាចឲ្យពួកគេធ្វើការចំលងយករូបភាពចេញពីក្នុងឧបករណ៍ផងដែរ។ ចំនុចខ្សោយនេះពួកគេរកប្រាក់បាន $25,000 ។
MWR Labs ក៏បានធ្វើការវាយលុកទៅលើ Xiaomi Mi6 smartphone ដោយរួមបញ្ចូលនូវកំហុសឆ្គងចំនួន ៥ ផ្សេងគ្នាដើម្បីធ្វើការតំឡើងកម្មវិធីរបស់ខ្លួនតាមរយៈ JavaScript ហើយរំលងនូវ application whitelist ហើយដំណើរការ App ដោយស្វ័យប្រវត្តិ។ ដើម្បីសម្រេចបាននូវការវាយលុកនេះ ក្រុមរបស់គាត់ដំបូងឡើយធ្វើការបង្ខំឲ្យ Xiaomi Mi6 phone’s default web browser ចូលទៅកាន់វេបសាយមិនល្អ (malicious website) ក្នុងខណៈពេលដែលទូរស័ព្ទនោះភ្ជាប់ទៅកាន់ Wi-Fi server ដែលគ្រប់គ្រងដោយពួកគាត់។ ក្រុមនេះទទួលបានប្រាក់រង្វាន់ចំនួន $30,000 ។
ជាមួយគ្នានេះផងដែរ ក្រុម MWR បានធ្វើការបូកបញ្ចូលគ្នានូវ download flaw ជាមួយនឹងការតំលើង App ដើម្បីធ្វើការចំលងនូវរូបភាពចេញពីក្នងឧបករណ៍។ ក្រុមនេះទទួលបាន $25,000 បន្ថែមទៀត។
អ្នកស្រាវជ្រាវម្នាក់ទៀតគឺលោក Michael Contreras បានធ្វើការវាយលុកទៅលើចំនុចខ្សោយនៃ JavaScript ដើម្បីដំណើរការនូវកូដនៅលើ Xiaomi Mi6 handset ដែលគាត់អាចរកប្រាក់បាន $25,000៕
ប្រភព៖
https://thehackernews.com/2018/11/mobile-hacking-exploits.html