Найти тему
Герман Геншин

Хакеры заработали более 1 млн. долл. за 58 эксплойтов нулевого дня на Pwn2Own Toronto

Завершилось хакерское соревнование Pwn2Own Toronto 2023, в ходе которого исследователи безопасности заработали 1 038 500 долларов США за 58 эксплойтов нулевого дня (и многочисленные столкновения с ошибками), направленных на потребительские продукты в период с 24 по 27 октября.

В ходе хакерского соревнования Pwn2Own Toronto 2023, организованного Trend Micro's Zero Day Initiative (ZDI), исследователи безопасности нацелились на мобильные и IoT-устройства.

Полный список включает мобильные телефоны (Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 и Xiaomi 13 Pro), принтеры, беспроводные маршрутизаторы, сетевые устройства хранения данных (NAS), концентраторы домашней автоматизации, системы видеонаблюдения, интеллектуальные колонки, а также устройства Google Pixel Watch и Chromecast, причем все они были настроены по умолчанию и имели последние обновления безопасности.

Хотя ни одна из команд не взялась за взлом смартфонов Apple iPhone 14 и Google Pixel 7, участники конкурса четыре раза взломали полностью пропатченный Samsung Galaxy S23.

Команда Pentest Limited первой продемонстрировала "нулевой день" в Samsung Galaxy S23, использовав недостаток проверки ввода для выполнения кода, и заработала 50 000 долларов США и 5 баллов Master of Pwn.

Команда STAR Labs SG также использовала разрешительный список допустимых входных данных для взлома флагмана Samsung в первый день соревнований, заработав 25 000 долларов (половину приза за второй раунд взлома того же устройства) и 5 очков Master of Pwn.

Исследователи безопасности из Interrupt Labs и команда ToChim также взломали Galaxy S22 во второй день соревнований, используя разрешительный список допустимых вводимых данных и еще одну слабую сторону неправильной проверки ввода.

-2

Команда Viettel выиграла соревнование, получив 180 000 долларов и 30 очков Master of Pwn. За ними в таблице лидеров следуют команда Orca из Sea Security с 116 250 долл. (17,25 балла), а также DEVCORE Intern и Interrupt Labs (по 50 000 долл. и 10 баллов).

Исследователи безопасности успешно продемонстрировали эксплойты, направленные на 58 "нулевых дней" в устройствах различных производителей, включая Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze, Lexmark и HP.

С полным расписанием конкурса можно ознакомиться здесь. Полное расписание первого дня Pwn2Own Toronto 2023 и результаты по каждому испытанию приведены здесь.

После получения информации об уязвимостях "нулевого дня", эксплуатируемых в ходе мероприятия Pwn2Own, у производителей есть 120 дней на выпуск исправлений, прежде чем ZDI обнародует их.

В марте в ходе конкурса Pwn2Own Vancouver 2023 участники выиграли 1 035 000 долл. и автомобиль Tesla Model 3 за 27 нулевых дней (и несколько столкновений с ошибками).

По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!