Hackere tjener knap 7 millioner kroner for 63 nul-dages sikkerhedshuller på Pwn2Own Hacker konkurrencen
Pwn2Own er en computer hacking konkurrence afholdes årligt på CanSecWest sikkerhedskonference. Konkurrencen blev første gang afholdt i april 2007 i Vancouver, konkurrencen afholdes nu to gange om året. Deltagerne udfordres til at udnytte udbredt software og mobile enheder med hidtil ukendte sårbarheder. Vinderne af konkurrencen modtager den enhed, de har udnyttet, og en pengepræmie. Pwn2Own-konkurrencen tjener til at demonstrere sårbarheden af enheder og software i udbredt brug og samtidig give et kontrolpunkt for de fremskridt, der er gjort inden for sikkerhed siden det foregående år.
Nuldagssårbarheder bliver skabt af de skarpeste hackere
Pwn2Own Toronto 2022 er endt med, at deltagende konkurrenter tjener $ 989,750 for 63 nul-dages udnyttelser (og flere fejlkollisioner) rettet mod forbrugerprodukter mellem 6. december og 9. december.
Under denne hackingkonkurrence er arrangeret af zerodaysinitiative.com og har 26 hold og sikkerhedsforskere målrettet enheder i kategorierne mobiltelefoner, hjemmeautomatiseringshubs, printere, trådløse routere, netværkstilsluttet opbevaring og smarte højttalere, alle opdaterede og i deres standardkonfiguration.
Mens intet hold tilmeldte sig at hacke Apple iPhone 13 og Google Pixel 6 smartphones, hackede deltagerne en fuldt patchet Samsung Galaxy S22 fire gange.
STAR Labs-teamet var det første til at udnytte en nul-dags såbarhed i Samsungs flagskibsenhed ved at udføre et forkert inputvalideringsangreb på deres tredje forsøg og tjente $ 50,000 og 5 Master of Pwn-point.
En anden deltager, kendt som Chim, demonstrerede endnu en vellykket udnyttelse rettet mod Samsung Galaxy S22 på konkurrencens første dag.
Sikkerhedsforskere med Interrupt Labs og Pentest Limited hackede også Galaxy S22 på anden og tredje dag af konkurrencen, hvor Pentest Limited demonstrerede deres nul-dages udnyttelse på bare 55 sekunder.
Pwn2Own Toronto 2022 sluttede i dag, på konkurrencens fjerde dag, hvor deltagerne tjente $ 989,750 for 63 nul-dages bedrifter på tværs af flere kategorier.
Messen fortsætter #Pwn2Own i Miami, USA i februar.
I løbet af konkurrencen har hackere med succes demonstreret udnyttelser rettet mod nul-dages fejl i enheder fra flere leverandører, herunder Canon, HP, Mikrotik, NETGEAR, Sonos, TP-Link, Lexmark, Synology, Ubiquiti, Western Digital, Mikrotik og HP.
Du kan finde den komplette tidsplan for konkurrencen her og programmet og resultaterne for hver dag i Pwn2Own Toronto 2022 her.
Efter at de nul-dages sårbarheder, der udnyttes under Pwn2Own-begivenheden, er rapporteret, får leverandører 120 dage til at frigive patches, før ZDI offentliggør dem.
DEVCORE-holdet vandt konkurrencen og tjente $142.500 og 18,5 Master of Pwn-point. De efterfølges på leaderboardet af Team Viettel med $82.500 og 16,5 point og NCC Group EDG med $78.750 og 15.5 point.
Kilde: #pwn2own og ICARE SECURITY A/S
Fotokredit: #pwn2own, skærmdump af tweet fra initiativtagerne.
