ハッキングコンテストでEcho Show 5をハックしたチームが優勝。総額2100万円以上の賞金を獲得

11月6日～7日の2日間、表参道で開催された国際的なセキュリティカンファレンス「PacSec 2019」の一環として、恒例となっているハッキングコンテストPwn2Ownが行われました。今回のコンテストでは、はじめてホームオートメショーンカテゴリーが追加され、さっそくAmazonのスマートディスプレイEcho Show 5がハッキングされてしまいました。

Pwn2Ownは、スマートフォンやウェブブラウザ、ルーター、テレビなどいくつかのカテゴリーに分かれた製品を対象に、期間内にハッキングを行うというもの。ハッキングに成功すれば、製品とその内容に応じた賞金が提供されます。今回のコンテストでは、3チームが7カテゴリー8製品のハッキングに挑戦しました。

優勝したのは、Amat CamaとRichard ZhuによるFluoroacetateチーム。総額19万5000ドル（約2100万円）の賞金を手にしています。

Fluoroacetateチームは、今回初めて対象となったEcho Show 5のハッキングにも成功しており、この賞金は6万ドル（約650万円）でした。Echo Show 5は古いChromiumエンジンを利用しており、本家Chromiumではすでに修正済みのJavaScriptの整数オーバーフローバグを利用して、端末を制御下に置けたとのことです。

主催者のBrian Gorenc氏によると、このような、すでに修正パッチがあるにもかかわらず、それが適用されていないパッチギャップは、本コンテストでハッキングされたIoT機器の多くで、共通の要因だったとしています。

Fluoroacetateチームは、ほかにもSonyのテレビX800Gでシェルを実行したり、Xiaomi Mi9やGalaxy S10から写真を取得するのに成功しています。ちなみにこのチーム、2018年のコンテストでは、iPhoneから消した写真を取り出していました。

関連記事：
「消した写真」をiPhoneから取出すことに成功。脆弱性発見のハッカー2人組が賞金獲得

なお、コンテストで見つかったバグは、各ベンダーに開示され、90日以内にセキュリティパッチがリリースされる予定です。Echo Show 5をハッキングされたAmazonは、内容を調査しており、適切な処理を取るとコメントしてます。