폰투온 토론토 해킹 대회(Pwn2Own Toronto 2022)에서 삼성전자의 갤럭시 S22가 참가팀에 의해 두 차례 해킹됐다.
10회 째로 열린 폰투온 해킹 대회에서는 13억 원(100만 달러)에 달하는 상금과 함께 7개 과제가 주어졌다.
주어진 해킹 대상은 ▲휴대폰 ▲무선 라우터 ▲홈 오토메이션 허브 ▲프린터 ▲스마트 스피커▲NAS 장치 ▲SOHO Smashup 등이다.
STAR Labs 팀은 갤럭시 S22에 대한 세 번째 해킹 시도에서 입력 유효성 검사 관련 공격을 성공시켰다. 해킹된 S22 장치는 사용 가능한 모든 업데이트가 설치된 최신 버전의 안드로이드 OS를 실행하고 있었다.
다른 참가자 Chim은 갤럭시 S22에 부적절한 입력 유효성 검사 공격을 시도해 성공했다.
참가팀 DEVCORE는 새로운 미크로틱 라우터와 캐논 프린터에 스택 기반 버퍼 오버플로우 공격을 성공시켰다. Claroty Research 팀은 NAS 범주에서 Synology DiskStation DS920+를 대상으로 3개의 버그(중요 기능에 대한 인증 누락 2개 및 인증 우회) 공격을 시연하기도 했다.
한편, 대회 당일 화이트 해커들은 미트로닉, 넷기어, 티피링크, 시놀로지 등 여러 기업의 장치에 대한 공격을 시연했다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
