Güvenlik araştırmacıları, Kanada’nın Toronto kentinde düzenlenen tüketici odaklı Pwn2Own 2023 hackleme yarışmasının ilk gününde Samsung Galaxy S23’ü iki kez hackledi.
Ayrıca Xiaomi’nin 13 Pro akıllı telefonundaki sıfır günleri hedefleyen açıklardan yararlanma ve güvenlik açığı zincirlerinin yanı sıra Western Digital, QNAP, Synology, Canon, Lexmark ve Sonos’un yazıcıları, akıllı hoparlörleri, Ağa Bağlı Depolama (NAS) cihazları ve güvenlik kameralarını da gösterdiler. .
Pentest Limited ilk oldu demo Kod yürütme kazanmak için uygunsuz giriş doğrulama zayıflığından yararlanarak Samsung’un amiral gemisi Galaxy S23 cihazında sıfır gün, 50.000 $ ve 5 Master of Pwn puanı kazanıyor.
STAR Labs SG ekibi ayrıca sömürülen Samsung Galaxy S23’ü hacklemek için izin verilen girdilerin izin verilen bir listesi, 25.000 $ (aynı cihazı hedeflemenin ikinci turu için yarı ödül) ve 5 Master of Pwn puanı kazanıyor.
Organizatörler, “Bir kategorideki yalnızca ilk gösteri tam para ödülünü kazanırken, her başarılı katılım, Master of Pwn puanlarının tamamını talep eder” diye açıklıyor.
“Girişimlerin sırası rastgele bir çekilişle belirlendiğinden, daha sonraki slotları alanlar, daha düşük bir nakit ödeme kazansalar bile, Master of Pwn unvanını almaya devam edebilirler.”
Pwn2Own Toronto 2023 yarışma kurallarına göre, hedeflenen tüm cihazlar, tüm güvenlik güncellemelerinin yüklü olduğu en son işletim sistemi sürümlerini çalıştırır.
ZDI, yarışmanın ilk gününde başarılı bir şekilde tanıtılan 23 sıfır gün güvenlik açığı için 438.750 $ ödül aldı.
1 milyon dolardan fazla nakit ve ödül
Trend Micro’nun Zero Day Initiative (ZDI) tarafından düzenlenen Pwn2Own Toronto 2023 hackleme etkinliği sırasında rakipler mobil ve IoT cihazlarını hedef alabiliyor.
Tam listede cep telefonları (örn. Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 ve Xiaomi 13 Pro), yazıcılar, kablosuz yönlendiriciler, ağa bağlı depolama (NAS) cihazları, ev otomasyon merkezleri, gözetim sistemleri, akıllı cihazlar yer alıyor. hoparlörler ve Google’ın Pixel Watch ve Chromecast cihazlarının tümü varsayılan yapılandırmalarındadır ve en son güvenlik güncellemelerini çalıştırmaktadır.
En yüksek ödüller, cep telefonu kategorisinde sıfır gün hataları içindir; iPhone 14’ü hackleyenler için 300.000 ABD Doları’na, Pixel 7 için 250.000 ABD Doları’na varan nakit ödüller ve yarışmacılara 1.000.000 ABD Doları’ndan fazla nakit ödül verilmektedir.
Google ve Apple cihazlarından başarıyla yararlanmak, istismar yüklerinin çekirdek düzeyinde ayrıcalıkla yürütülmesi durumunda 50.000 ABD doları tutarında bonus da sağlar; bu da, tek bir meydan okuma için mümkün olan maksimum ödülü, Apple iPhone 14’ü hedefleyen çekirdek düzeyinde erişime sahip tam bir yararlanma zinciri için toplam 350.000 ABD dolarına çıkarır. .
Yarışmanın tam programına buradan ulaşabilirsiniz. Pwn2Own Toronto 2023’ün ilk gününün tam programı ve her mücadelenin sonuçları burada listeleniyor.
Yarışmanın ikinci gününde Samsung Galaxy S23, güvenlik araştırmacısı Le Xich Long ve güvenlik açığı araştırma firması Interrupt Labs’taki bilgisayar korsanları tarafından bir kez daha test edilecek.
Mart ayında, Pwn2Own Vancouver 2023 yarışması sırasında araştırmacılara, 22 ve 24 Mart tarihleri arasında 27 sıfır günü (ve birkaç hata çarpışmasını) istismar ettikleri için 1.035.000 dolar ve bir Tesla Model 3 arabası ödüllendirildi.