Tim Hacker Fluoroacetate Juarai Pwn2Own Tokyo 2019
Richard Zhu dan Amat Cama | image: zerodayinitiative.com
Tokyo, Cyberthreat.id - Seperti sudah diperkirakan, tim Fluoroacetate berhasil keluar sebagai juara Pwn2Own Tokyo 2019. Tim yang beranggotakan Richard Zhu dan Amat Cama ini mencatatkan diri sebagai juara Pwn2Own tiga kali berturut-turut. Mereka mengumpulkan 18,5 poin dan meraih US$195 ribu atau Rp 2,7 miliar.
Duo hacker ini menyegel poin kemenangan melalui peretasan web browser ponsel Samsung Galaxy S10. Mereka memanfaatkan integer overflow bersamaan dengan teknik Used-After-Free (UAF) untuk lolos dari pengamanan browser dan mengambil sebuah foto dari ponsel. Meski sukses membobol browser Galaxy S10, ternyata celah keamanan yang mereka pakai sudah digunakan kontestan sebelumnya. Peretasan ini dianggap bukan kemenangan penuh namun total poin mereka sudah cukup untuk memboyong jaket "Master of Pwn".
Hari kedua kontes Pwn2Own Tokyo dibuka dengan mundurnya tim Fluoroacetate dari upaya meretas komponen baseband ponsel Oppo F11 Pro. Mereka memilih Samsung Galaxy S10 untuk kategori yang sama. Base station palsu mereka berhasil melakukan penetrasi ke ponsel dan mengunggah sebuah file ke ponsel target. Untuk keberhasilan ini, Fluoroacetate mendapat US$50.000 dan 5 poin Master of Pwn. Hal ini juga menunjukkan bahwa ponsel Galaxy S10 telah dibobol di kontes Pwn2Own tiga kali berturut-turut melalui baseband.
Peringkat kedua diraih tim F-Secure Labs yang terdiri dari Mark Barnes, Toby Drew, Max Van Amerongen, dan James Loureiro. Mereka berhasil meretas intermuka WAN router TP-Link AC1750 Smart WiFi dan komponen NFC ponsel Xiaomi Mi9. Total hadiah yang diraih mencapai US$70.000 dan 6 poin Master of Pwn.
Peserta lain, Pedro Ribeiro dan Radek Domanski dari tim Flashback berhasil meretas port WAN dari router TP-Link AC1750 Smart WiFi. Mereka mengeksploitasi celah ketersediaan memori (stack overflow) untuk mengeksekusi kode di perangkat target. Pada partisipasi perdananya ini, tim Flashback mengumpulkan hadiah $50.000.
Total hadiah yang dialokasikan pada Pwn2Own ini mencapai US$315 ribu dari US$750 ribu yang disediakan. Dan Zero Day Initiative membeli 18 celah keamanan dari berbagai produk yang menjadi target kontes. Para vendor perangkat yang menjadi target peretasan telah mendapat perincian celah keamanan dan kini memiliki waktu 90 hari untuk menambalnya.
Kontes Pwn2Own berikutnya akan digelar di Miami, Amerika Serikat, pada 21-23 Januari 2020. Mulai tahun depan, akan ada 3 kontes Pwn2Own: Miami, Vancouver, dan Tokyo. Fokus peretasan pada Pwn2Own Miami adalah Industrial Control Systems (ICS) dan protokol terkait. Pwn2Own adalah kontes white hat hacker yang diselenggarakan Zero Day Initiative, sebuah program pelaporan celah keamanan zero-day dari perusahaan keamanan siber asal Jepang, Trend Micro.
