Ο διαγωνισμός hacking Pwn2Own Toronto 2023 έληξε με τους ερευνητές ασφαλείας να κερδίζουν 1.038.500 $ για 58 εκμεταλλεύσεις μηδενικής ημέρας (και πολλαπλές συγκρούσεις σφαλμάτων) που στοχεύουν καταναλωτικά προϊόντα μεταξύ 24 Οκτωβρίου και 27 Οκτωβρίου.
Κατά τη διάρκεια της
Pwn2Own Toronto 2023
εκδήλωση hacking που διοργάνωσε η Trend Micro’s Zero Day Initiative (ZDI), ερευνητές ασφαλείας στόχευσαν κινητές συσκευές και συσκευές IoT.
Η πλήρης λίστα περιλαμβάνει κινητά τηλέφωνα (δηλαδή Apple iPhone 14, Google
Pixel
7, Samsung Galaxy S23 και Xiaomi 13 Pro), εκτυπωτές, ασύρματους δρομολογητές, συσκευές αποθήκευσης που συνδέονται με το δίκτυο (NAS), κόμβους οικιακού αυτοματισμού, συστήματα επιτήρησης, έξυπνα ηχεία και συσκευές Pixel
Watch
και
Chromecast
της Google, όλα στην προεπιλεγμένη τους διαμόρφωση και εκτελούν τις πιο πρόσφατες ενημερώσεις ασφαλείας.
Ενώ καμία ομάδα δεν εγγράφηκε για να χακάρει τα smartphone Apple iPhone 14 και Google Pixel 7, οι διαγωνιζόμενοι χάκαραν ένα πλήρως διορθωμένο Samsung Galaxy S23 τέσσερις φορές.
Η ομάδα της Pentest Limited ήταν η πρώτη που
επίδειξη μηδενικής ημέρας
στο Samsung Galaxy S23, εκμεταλλευόμενος την ακατάλληλη αδυναμία επικύρωσης εισόδου για να κερδίσει την εκτέλεση κώδικα, κερδίζοντας 50.000 $ και 5 πόντους Master of Pwn.
Η ομάδα του STAR Labs SG επίσης
εκμεταλλεύονται
μια επιτρεπτή λίστα με επιτρεπόμενες εισόδους για χακάρισμα της ναυαρχίδας της Samsung την πρώτη ημέρα, κερδίζοντας 25.000 $ (μισό έπαθλο για τον δεύτερο γύρο στόχευσης της ίδιας
συσκευή
ς) και 5 πόντους Master of Pwn.
Ερευνητές ασφαλείας με την Interrupt Labs και την ομάδα ToChim χάκαραν επίσης το Galaxy S22 τη δεύτερη ημέρα του διαγωνισμού εκμεταλλευόμενοι μια επιτρεπτή λίστα επιτρεπόμενων εισόδων και μια άλλη ακατάλληλη αδυναμία επικύρωσης εισόδου.
Pwn2Own Toronto 2023 final leaderboard (ZDI)
,
Ομάδα Viettel
κέρδισε τον διαγωνισμό, κερδίζοντας 180.000 $ και 30 πόντους Master of Pwn. Ακολουθούν στον πίνακα κατάταξης η Team Orca of Sea Security με $116.250 (17,25 πόντοι) και η DEVCORE Intern and Interrupt Labs (καθεμία με $50.000 και 10 πόντους).
Οι ερευνητές ασφάλειας έχουν παρουσιάσει με επιτυχία εκμεταλλεύσεις που στοχεύουν 58 μηδενικές ημέρες σε συσκευές από πολλούς προμηθευτές, συμπεριλαμβανομένων των Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link,
QNAP
, Wyze, Lexmark και HP.
Μπορείτε να βρείτε το πλήρες πρόγραμμα του διαγωνισμού
εδώ
. Το πλήρες πρόγραμμα για την πρώτη μέρα του Pwn2Own Toronto 2023 και τα αποτελέσματα για κάθε πρόκληση παρατίθενται
εδώ
.
Μόλις αναφερθούν τα τρωτά σημεία zero-day που εκμεταλλεύονται κατά τη διάρκεια του συμβάντος Pwn2Own, οι προμηθευτές έχουν 120 ημέρες για να εκδώσουν ενημερώσεις κώδικα προτού η ZDI τις αποκαλύψει δημόσια.
Τον Μάρτιο, κατά τη διάρκεια του διαγωνισμού Pwn2Own Vancouver 2023, οι ανταγωνιστές κέρδισαν 1.035.000 $ και ένα αυτοκίνητο Tesla Model 3 για 27 ημέρες μηδέν (και πολλές συγκρούσεις σφαλμάτων).
VIA:
bleepingcomputer.com
