Güvenlik araştırmacıları, Kanada’nın Toronto kentinde düzenlenen Pwn2Own 2023 hackleme yarışmasının ikinci gününde Samsung Galaxy S23 akıllı telefonunu iki kez daha hackledi.
Yarışmacılar ayrıca Canon, Synology, Sonos, TP-Link, QNAP, Wyze, Lexmark ve HP’nin yazıcıları, yönlendiricileri, akıllı hoparlörleri, gözetim sistemleri ve NAS cihazlarındaki sıfır gün hatalarını da tanıttı.
Interrupt Labs güvenlik araştırmacıları bunu ilk yapanlardı demo ToChim ekibi, Samsung Galaxy S23’te uygunsuz bir giriş doğrulama saldırısında bulundu. sömürülen Samsun’un amiral gemisini hacklemek için izin verilen girdilerin izin verilen listesi.
Her iki takım da aynı hedef üzerinde sonraki turlarda demoları için 25.000 $ ve 5 Master of Pwn puanı kazandı.
Organizatörler, “Bir kategorideki yalnızca ilk gösteri tam para ödülünü kazanırken, her başarılı katılım, Master of Pwn puanlarının tamamını talep eder” diye açıklıyor.
“Girişimlerin sırası rastgele bir çekilişle belirlendiğinden, daha sonraki slotları alanlar, daha düşük bir nakit ödeme kazansalar bile, Master of Pwn unvanını almaya devam edebilirler.”
Pwn2Own Toronto’nun ilk gününde, Pentest Limited ve STAR Labs SG ekibi, uygunsuz giriş doğrulama zayıflığından ve izin verilen girişlerin izin verilen listesinden yararlanan iki sıfır gün saldırısının tanıtımını yaptı.
Her dört durumda da cihaz, yarışma kurallarına göre tüm güvenlik güncellemelerinin yüklü olduğu Android işletim sisteminin en son sürümünü çalıştırıyordu.
Trend Micro’nun Sıfır Gün Girişimi, Pwn2Own Toronto 2023’ün ikinci gününde bir düzineden fazla sıfır gün ve çeşitli kategorilerde birden fazla hata çarpışması için 352.500 ABD doları ödül verdi. Bu, Pwn2Own’un ilk iki gününün toplamını 39 benzersiz sıfır gün için verilen 791.250 $’a getiriyor.
1 milyon doların üzerinde nakit ve ödül
Trend Micro’nun Zero Day Initiative (ZDI) tarafından düzenlenen Pwn2Own Toronto 2023 hackleme etkinliğinde katılımcılar, aralarında Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 ve Xiaomi gibi cep telefonlarının da bulunduğu çok çeşitli cihazları hedefleme fırsatına sahip oluyor. 13 Pro.
Yazıcılar, kablosuz yönlendiriciler, ağa bağlı depolama (NAS) cihazları, ev otomasyon merkezleri, gözetim sistemleri, akıllı hoparlörler ve Google’ın Pixel Watch ve Chromecast cihazları da hepsi güncel ve varsayılan yapılandırmalarında listede yer alıyor.
Etkinlik, cep telefonlarındaki sıfır gün güvenlik açıkları için önemli ödüller sunuyor; ödüller iPhone 14’ü hackleyenler için 300.000 $’a, Pixel 7 için ise 250.000 $’a kadar ulaşıyor. Yarışmacılar yarışma boyunca toplamda 1.000.000 $’ın üzerinde nakit ödül kazanabilirler.
Özellikle, Google ve Apple cihazlarının başarılı bir şekilde kullanılması, istismar yüklerinin çekirdek düzeyinde ayrıcalıkla yürütülmesi durumunda 50.000 ABD doları tutarında bir bonus kazanıyor. Bu, Apple iPhone 14’ü hedefleyen çekirdek düzeyinde erişime sahip tam bir istismar zinciri için tek bir meydan okuma için potansiyel ödülü maksimum 350.000 ABD Dolarına çıkarıyor (ancak Apple’ın iPhone’unu hackleme girişimi planlanmamıştır).
Yarışma takvimine ilişkin detaylı bilgiye yarışmanın resmi internet sitesinden ulaşılabilir. Pwn2Own Toronto 2023’ün ilk gününde elde edilen sonuçlar da dahil olmak üzere her mücadelenin sonuçları bu sayfada mevcuttur.
Yarışmanın üçüncü gününde Samsung Galaxy S23 bir kez daha Sea Security Team Orca’nın hedefinde olacak.
Mart ayında düzenlenen Pwn2Own Vancouver 2023 yarışmasında yarışmacılara 1.035.000 $ nakit ödül ve 27 sıfır gün güvenlik açığı ve çeşitli hata çarpışmaları için bir Tesla Model 3 arabası verildi.