日本では、あまり馴染みのない事かもしれないが世界ではハッキングコンテストなるものが存在している。これはセキュリティ強化の一環とされており、銀行へのハッキングを公にした上で行うなど、耳にされたことがある方もいるのではないのだろうか。

今年のPwn20wonでは、これまですでに高度なハッキングテクニックをいくつも開拓してきた二人のセキュリティ研究家が優勝した。それらの中には、Amazon Echoに対する攻撃もあった。

アマト・カマ氏とリチャード・チュー氏の2人が結成したTeam Fluoroacetateは、Alexa対応のスマートディスプレーであるAmazon Echo Show 5の最新機種に対する整数オーバーフロー攻撃で、6万ドル（約650万円）のバグ褒賞金を獲得した。

Pwn2Ownコンテストを主催しているTrend Microのブライアン・ゴレンク氏によると「彼らは、そのデバイスがGoogleのオープンソースブラウザーであるChromiumの古いバージョンを使っている」とのこと。またそれは、「開発のある時点でフォークされたコードだった。しかしそのバグにより、悪質なWi-Fiホットスポットに接続するとデバイスを完全に乗っ取ることができた」と語っている。

研究者たちは彼らのエクスプロイトを、外部の妨害を防ぐために高周波遮断容器の中でテストしたところ「コンテストの間に侵害されたIoTデバイスの多くに、このパッチのバグがあった」とのこと。

Amat Cama（左）とRichard Zhu（右）の2人がTeam Fluoroacetate（画像提供: ZDI）

整数オーバーフローバグは、整数演算が数を作ろうとしたとき十分な大きさのメモリーがないと起きる。その数は、割り当てられたメモリーの外へオーバーフローすることでデバイスのセキュリティが壊される。

問い合わせに対してAmazonは「調査中である」と答え、対応策は明確にしていない。