Facebook は、近々開催される Pwn2Own 東京大会で、Portal ビデオ会議ハードウェアを初めてハッカーに公開します。
ソーシャルネットワークがハッキングコンテストのメインスポンサーとなり、参加者はリモートコード実行、またはそれが不可能な場合はローカル権限昇格を実現する、実用的なエクスプロイトの実演を披露します。世界中のハッキングチームが腕を競い合い、Facebookから賞金6万ドル(RCEエクスプロイト)、または4万ドル(権限昇格または非侵入型物理攻撃)とハードウェア本体を獲得する可能性があります。
Facebook傘下のOculusもコンテストに参加し、Oculus Quest VRヘッドセットを「ウェアラブル」部門に提供します。Portalと同様に、優勝者は、パッチを完全に適用したヘッドセットに対して、リモートコード実行、権限昇格、または非侵入型物理攻撃(触れることはできるが、破壊することはできない)を仕掛ける有効なエクスプロイトを提示する必要があります。優勝者には、ヘッドセットと、攻撃の深刻度に応じて6万ドルまたは4万ドルの賞金が授与されます。
両Facebookデバイスは、11月6日と7日に日本で開催されるPacSecカンファレンスで開催されるPwn2Own Tokyoコンテストの一環としてテストされます。Facebookデバイスに加え、参加者はApple Watch、iPhone XS Max、Samsung Galaxy S10、Huawei P30、そしてAmazonとNestの家庭用カメラにも侵入するチャンスがあります。
その他の標的には、ルーター(TP-Link および Netgear)や、Sony および Samsung のスマート TV が含まれます。
2018年3月、あなたのWindows PCがウェブ記事によって乗っ取られる可能性がある(まあ、私たちの記事ではないが)
続きを読む
スマートフォンの場合、Web ブラウザ経由で侵入するだけでなく、短距離無線 (Wi-Fi、Bluetooth、USB)、SMS メッセージ、または基地局を装って端末に侵入するタスクも課されます。
有効なエクスプロイト (ターゲットに応じて、通常はリモート コード実行、権限の昇格、またはサンドボックスからの脱出) を披露した人には、デバイスと賞金が与えられ、さらに「Master of Pwn」カテゴリ全体のポイントも獲得できます。このカテゴリには独自のトロフィーと、報酬としてトレンドマイクロ ZDI プログラムのプラチナ レベルのメンバーシップが用意されています。
「各カテゴリーで最初のデモンストレーションのみが賞金全額を獲得しますが、成功した各エントリーは Master of Pwn ポイント全額を獲得します」と ZDI は述べています。
「挑戦の順番はランダム抽選で決まるため、後から出場した人も、たとえ賞金が低くても、Master of Pwnの称号を獲得できます。」®
