2023年Pwn2Own多伦多黑客竞赛已经结束,安全研究人员在10月24日至10月27日期间,针对消费者产品共获得105万美元奖金,揭示了58个零日漏洞(以及多次的漏洞碰撞)。
由趋势科技的零日倡议(Zero Day Initiative,ZDI)组织的Pwn2Own多伦多2023黑客活动中,安全研究人员主要瞄准了移动设备和物联网设备。
完整的目标列表包括手机(例如,苹果iPhone 14、谷歌Pixel 7、三星Galaxy S23和小米13 Pro),打印机、无线路由器、网络附加存储(NAS)设备、家庭自动化中心、监控系统、智能音响以及谷歌的Pixel手表和Chromecast设备,它们都是在默认配置下运行的,并且已经安装了最新的安全更新。
尽管没有队伍注册来入侵苹果iPhone 14和谷歌Pixel 7智能手机,但参赛者成功入侵了经过全面修补的三星Galaxy S23四次。
Pentest Limited团队首次在三星Galaxy S23上演示了一项零日漏洞,利用了不正确的输入验证漏洞来执行代码,赢得了5万美元和5个“大师”的积分。
STAR Labs SG团队也利用了允许输入的宽松列表来入侵三星的旗舰产品,在第一天赢得了2.5万美元(对同一设备的第二轮入侵赢得了半份奖金)和5个“大师”的积分。
安全研究人员Interrupt Labs和ToChim团队也在比赛的第二天入侵了Galaxy S22,利用了允许输入的宽松列表和另一个不正确的输入验证漏洞。
Viettel团队获得了比赛冠军,赢得了18万美元和30个“大师”的积分。他们在榜单上的第二名是Sea Security的Orca团队,赢得了11.625万美元(17.25分),DEVCORE Intern和Interrupt Labs团队并列第三,各自赢得5万美元和10个积分。
安全研究人员成功演示了针对多个供应商设备的58个零日漏洞的攻击,包括小米、西部数据、群晖、佳能、Lexmark、Sonos、TP-Link、QNAP、Wyze、Lexmark和惠普等。
Pwn2Own活动期间利用的零日漏洞一旦报告,供应商需要在120天内发布补丁,否则ZDI将公开披露这些漏洞。
在3月份,Pwn2Own温哥华2023竞赛中,参赛者通过27个零日漏洞(以及多次的漏洞碰撞)赢得了103.5万美元和特斯拉Model 3汽车。
消息来源:bleepingcomputer
