Дослідники безпеки двічі зламали Samsung Galaxy S23 протягом першого дня хакерського конкурсу Pwn2Own 2023, орієнтованого на споживачів, у Торонто, Канада. Вони також продемонстрували експлойти та ланцюжки вразливостей, націлені на нульові дні у смартфоні Xiaomi 13 Pro, а також принтерах, розумних колонках, мережевих сховищах (NAS) і камерах спостереження від Western Digital, QNAP, Synology, Canon, Lexmark і Sonos.
Pentest Limited був першим, хто продемонстрував нульовий день на флагманському пристрої Samsung Galaxy S23, використовуючи слабкість перевірки неправильного введення, щоб підвищити виконання коду, заробивши 50 000 доларів США та 5 балів Master of Pwn.
Команда STAR Labs SG також використала дозвільний список дозволених вхідних даних, щоб зламати Samsung Galaxy S23, заробивши 25 000 доларів (половина призу за другий раунд націлювання на той самий пристрій) і 5 балів Master of Pwn.
«Хоча лише перша демонстрація в категорії отримує повну грошову винагороду, кожна успішна заявка претендує на повну кількість балів Master of Pwn», — пояснюють організатори.
«Оскільки порядок спроб визначається випадковим жеребкуванням, ті, хто отримають пізніші слоти, все одно можуть претендувати на звання Master of Pwn — навіть якщо вони отримають меншу грошову виплату».
Згідно з правилами конкурсу Pwn2Own Toronto 2023, усі цільові пристрої працюють під керуванням останніх версій операційної системи з усіма встановленими оновленнями безпеки. ZDI нагородив 438 750 доларів США протягом першого дня конкурсу за 23 успішно продемонстровані вразливості нульового дня.
Понад 1 мільйон доларів готівкою та призами
Під час хакерської події Pwn2Own Toronto 2023, організованої Trend Micro Zero Day Initiative (ZDI), конкуренти можуть націлитися на мобільні пристрої та пристрої IoT.
Повний список включає мобільні телефони (наприклад, Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 і Xiaomi 13 Pro), принтери, бездротові маршрутизатори, мережеві пристрої зберігання даних (NAS), концентратори домашньої автоматизації, системи спостереження, розумні динаміки та пристрої Google Pixel Watch і Chromecast, усі вони мають конфігурацію за замовчуванням і мають останні оновлення безпеки.
Найвищі винагороди за помилки нульового дня в категорії мобільних телефонів, з грошовими призами до 300 000 доларів США за злом iPhone 14 і 250 000 доларів США за Pixel 7, з більш ніж 1 000 000 доларів США готівкою для учасників.
Успішне використання пристроїв Google та Apple також надає бонуси в розмірі 50 000 доларів США, якщо корисні навантаження експлойтів виконуються з привілеями на рівні ядра, в результаті чого максимальна можлива нагорода за один виклик становить 350 000 доларів США за повний ланцюжок експлойтів із доступом на рівні ядра, націленим на Apple iPhone 14. .
У другий день конкурсу Samsung Galaxy S23 знову протестують дослідник безпеки Ле Січ Лонг і хакери з дослідницької фірми Interrupt Labs. У березні під час конкурсу Pwn2Own Vancouver 2023 дослідники отримали 1 035 000 доларів США та автомобіль Tesla Model 3 за використання 27 нульових днів (і кількох зіткнень з помилками) між 22 і 24 березня. Джерело
