Samsung Galaxy S23 Diretas dalam Dua Kali Serangan Siber, Pelaku Dapat Hadiah Rp 398 Juta

Liputan6.com, Jakarta - Dua kelompok peneliti keamanan meretas smartphone Samsung Galaxy S23 pada hari kedua kompetisi peretasan Pwn2Own 2023 di Toronto, Kanada, baru-baru ini.

Peneliti keamanan Interrupt Labs adalah kelompok pertama yang mendemonstrasikan kerentanan zero-day Samsung Galaxy S23 melalui metode serangan 'improper input validation'.

Kelompok kedua adalah tim ToChim yang mengeksploitasi 'permissive list of allowed inputs' untuk meretas ponsel flagship tersebut.

Dalam kompetisi Pwn2Own 2023, kedua tim memperoleh hadiah senilai USD 25.000 atau sekitar Rp 398 juta dan 5 poin Master of Pwn untuk demo mereka pada putaran berikutnya dengan target yang sama.

“Meskipun hanya demonstrasi pertama dalam suatu kategori yang memenangkan penghargaan uang tunai penuh, setiap peserta yang berhasil mendapatkan jumlah penuh poin Master of Pwn,” ujar pihak penyelenggara, dikutip dari Bleeping Computer, Jumat (27/10/2023).

"Karena urutan percobaan ditentukan oleh undian acak, mereka yang menerima slot berikutnya masih dapat mengklaim gelar Master of Pwn, bahkan jika mereka memperoleh pembayaran tunai yang lebih rendah," sambungnya.

Pada hari pertama Pwn2Own Toronto, tim Pentest Limited dan STAR Labs SG mendemonstrasikan dua serangan zero-day lainnya yang mengeksploitasi kelemahan 'improper input validation' dan 'permissive list of allowed inputs'.

Dalam keempat kasus tersebut, Galaxy S23 menjalankan sistem operasi Android versi terbaru dengan semua pembaruan keamanan terpasang, sesuai dengan aturan kompetisi.

Pada hari kedua Pwn2Own Toronto 2023, Zero Day Initiative dari Trend Micro menghadiahkan lebih dari USD 362.500 untuk lebih dari belasan zero day dan beberapa serangan bug di berbagai kategori.

2 dari 4 halaman

Serangan ke Brand Teknologi Raksasa Lainnya

Ilustrasi iPhone 14/Shutterstock-sergey causelove.

Para kontestan juga mendemonstrasikan bug zero-day pada printer, router, smart speaker, sistem pengawasan, dan perangkat NAS dari Canon, Synology, Sonos, TP-Link, QNAP, Wyze, Lexmark, dan HP.

Dalam acara peretasan Pwn2Own Toronto 2023 yang diselenggarakan oleh Zero Day Initiative (ZDI) Trend Micro, peserta berkesempatan untuk menyasar berbagai perangkat, termasuk ponsel seperti Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23, dan Xiaomi 13 Pro.

Printer, router nirkabel, perangkat network-attached storage (NAS), hub otomatisasi rumah, sistem pengawasan, speaker pintar, serta perangkat Pixel Watch dan Chromecast Google juga ada dalam daftar.

Semua perangkat yang menjadi 'korban' tersebut sudah membenamkan sistem paling terbaru dan dalam konfigurasi default.

3 dari 4 halaman

Hadiah Uang Tunai Bombastis

Keamanan siber — Ilustrasi keamanan siber untuk UMKM. (Foto: Istimewa)

Acara ini menawarkan hadiah besar untuk kerentanan zero-day di ponsel, dengan hadiah mencapai hingga USD 300.000 untuk meretas iPhone 14 dan USD 250.000 untuk Pixel 7.

Secara keseluruhan, kontestan dapat memenangkan hadiah uang tunai dengan total lebih dari USD 1.000.000 sepanjang kompetisi.

Khususnya, keberhasilan eksploitasi perangkat Google dan Apple juga menghasilkan bonus USD 50.000 jika muatan eksploitasi dijalankan dengan kernel-level privilege.

Hal ini menjadikan potensi hadiah untuk satu tantangan menjadi maksimum USD 350.000 untuk rantai eksploitasi penuh dengan akses tingkat kernel yang menargetkan Apple iPhone 14. Namun, belum ada kontestan yang memilih untuk meretas iPhone.

Di hari ketiga kompetisi, Samsung Galaxy S23 kembali diincar oleh Tim Orca dari Sea Security.

4 dari 4 halaman