Pwn2Own Toronto 2022 hack yarışması başladı; bu yıl tüketici odaklı rekabetin 10. yıl dönümü. Pwn2Own Toronto 2022’nin ilk gününde, Samsung Galaxy S22 hack raporları büyük ses getirdi.
Tam nakit ödül ve test edilen cihazlar, her kriterde birinci olana verilecektir. Diğer tüm kazananlar, her hedef için ikinci ve sonraki turlar için para ödülünün %50’sini alacak, ancak yine de Master of Pwn puanlarının tam sayısını alacaklar.
Samsung Galaksi S22 saldırıya uğradı
STAR Labs, üçüncü denemelerinde Samsung Galaxy S22’ye karşı uygunsuz giriş doğrulama istismarını başarıyla kullandı. $50K ve 5 Master of Pwn puanı kazanırlar.
Chim tarafından Samsung Galaxy S22’ye yanlış bir giriş doğrulama saldırısı başarıyla gerçekleştirildi. İkinci turda, 25.000 $ ve 5 Master of Pwn puanı alırlar.
Her iki durumda da Galaxy S22 cihazları, yarışmanın düzenlemelerine uygun olarak mevcut tüm güncellemeler yüklü olarak Android işletim sisteminin en son sürümünü çalıştırıyordu.
Yönlendirici Kategorisi
Yönlendirici kategorisinde, NETGEAR RAX30 AX2400, Interrupt Labs, LAN arayüzüne karşı 2 hatayı (SQL enjeksiyonu ve komut enjeksiyonu) yürütebildi. 5 bin dolar ve 1 Master of Pwn puanı ödülleri.
NETGEAR RAX30 AX2400’ün Router kategorisindeki LAN arayüzüne yönelik saldırıda Claroty Research, 5 ayrı bug çalıştırmayı başardı. 1 Master of Pwn puanına ek olarak 25.000$ alırlar.
Yazıcı Kategorisi
bu HP Renk Yazıcı kategorisindeki LaserJet Pro M479fdw, Interrupt Labs araştırmacıları tarafından gerçekleştirilen üçüncü ve son yığın tabanlı arabellek aşımı saldırısının hedefi oldu. Onlara 20.000 $ ve 2 Master of Pwn puanı verilir.
Nettitude, Yazıcı kategorisindeki Canon imageCLASS MF743Cdw’ye Yığın tabanlı Arabellek Taşması saldırısını gerçekleştirmeyi başardı. $20K ve 2 Master of Pwn puanı kazanırlar.
NAS Kategorisi
Claroty Araştırma ekibi, NAS kategorisindeki Synology DiskStation DS920+ ürününe karşı 3 hata zinciri (Kritik İşlev için 2 adet Eksik Kimlik Doğrulama ve bir Kimlik Doğrulama Atlaması) saldırısını zincirledi. 40 bin dolar ve 4 Master of Pwn puanı kazandılar.
Pwn2Own Toronto Yarışmasının Detayları
Pwn2Own Toronto’da güvenlik araştırmacıları, tamamı güncel ve varsayılan ayarlarına ayarlanmış akıllı hoparlörlere, kablosuz yönlendiricilere, yazıcılara, ev otomasyon merkezlerine, cep telefonlarına ve diğer araçlara saldırabilir.
Rakipler, aralarında Canon, Mikrotik, NETGEAR, TP-Link, Lexmark, Synology ve HP’nin de bulunduğu çeşitli üreticilere ait yazıcı ve yönlendiricilerdeki sıfır gün kusurlarını hedefleyen istismarları başarıyla gösterdi.
Spesifik olarak, Google Pixel 6 ve Apple iPhone 13 akıllı telefonlarını hacklemek için, 200.000 $’a varan nakit ödüllerle cep telefonu kategorisindeki en büyük ödülleri alabilirler.
26 takım ve yarışmacının tüm kategorilerde 66 hedefi kullanmak için kaydolmasının ardından yarışma dört güne uzatıldı (6 Aralık ile 8 Aralık arasında).