Pwn2Own Toronto 2023 hackleme yarışması, güvenlik araştırmacılarının 24 Ekim ile 27 Ekim arasında tüketici ürünlerini hedef alan 58 sıfır gün açıklarından (ve birden fazla hata çarpışmasından) 1.038.500 $ kazanmasıyla sona erdi.
Trend Micro’nun Zero Day Initiative (ZDI) tarafından düzenlenen Pwn2Own Toronto 2023 hackleme etkinliği sırasında güvenlik araştırmacıları mobil ve IoT cihazlarını hedef aldı.
Tam listede cep telefonları (örn. Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 ve Xiaomi 13 Pro), yazıcılar, kablosuz yönlendiriciler, ağa bağlı depolama (NAS) cihazları, ev otomasyon merkezleri, gözetim sistemleri, akıllı cihazlar yer alıyor. hoparlörler ve Google’ın Pixel Watch ve Chromecast cihazlarının tümü varsayılan yapılandırmalarındadır ve en son güvenlik güncellemelerini çalıştırmaktadır.
Hiçbir takım Apple iPhone 14 ve Google Pixel 7 akıllı telefonlarını hacklemek için kaydolmasa da, yarışmacılar tamamen yamalı Samsung Galaxy S23’ü dört kez hacklediler.
Pentest Limited ekibi bunu yapan ilk kişi oldu. sıfır gün demosu Samsung Galaxy S23’te, kod yürütme elde etmek için uygunsuz giriş doğrulama zayıflığından yararlanarak 50.000 ABD doları ve 5 Master of Pwn puanı kazandı.
STAR Labs SG ekibi ayrıca sömürülen İlk gün Samsung’un amiral gemisini hacklemek için izin verilen girişlerin izin verilen bir listesi, 25.000 $ (aynı cihazı hedeflemenin ikinci turu için yarı ödül) ve 5 Master of Pwn puanı kazandı.
Interrupt Labs ve ToChim ekibindeki güvenlik araştırmacıları, yarışmanın ikinci gününde, izin verilen girişlerin izin verilen bir listesini ve başka bir uygunsuz giriş doğrulama zayıflığını kullanarak Galaxy S22’yi hacklediler.
Viettel Takımı yarışmayı kazandı ve 180.000 $ ve 30 Master of Pwn puanı kazandı. Liderlik sıralamasında onları 116.250 $ (17,25 puan) ile Team Orca of Sea Security ve DEVCORE Intern and Interrupt Labs (her biri 50.000 $ ve 10 puan) takip ediyor.
Güvenlik araştırmacıları, aralarında Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze, Lexmark ve HP’nin de bulunduğu çok sayıda satıcının cihazlarında 58 sıfır günü hedef alan açıklardan yararlanmayı başarıyla gösterdi.
Yarışma yarışmasının tam programına buradan ulaşabilirsiniz. Pwn2Own Toronto 2023’ün ilk gününün tam programı ve her mücadelenin sonuçları burada listeleniyor.
Pwn2Own olayı sırasında istismar edilen sıfır gün güvenlik açıkları rapor edildikten sonra, satıcıların ZDI bunları kamuya açıklamadan önce yamaları yayınlamaları için 120 günleri var.
Mart ayında, Pwn2Own Vancouver 2023 yarışması sırasında yarışmacılar 1.035.000 $ ve 27 sıfır gün (ve birkaç hata çarpışması) için bir Tesla Model 3 arabası kazandı.