Hackers ganham mais de $1 milhão por 58 zero-days no Pwn2Own Toronto
30 de Outubro de 2023

A competição de hacking Pwn2Own Toronto 2023 terminou com pesquisadores de segurança ganhando $1,038,500 por 58 exploits de zero-day (e várias colisões de bugs) direcionados a produtos de consumo entre 24 e 27 de outubro.

Durante o evento de hacking Pwn2Own Toronto 2023 organizado pela Iniciativa Zero Day da Trend Micro (ZDI), os pesquisadores de segurança miraram em dispositivos móveis e IoT.

A lista completa inclui celulares (ou seja, Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 e Xiaomi 13 Pro), impressoras, roteadores sem fio, dispositivos de armazenamento conectados à rede (NAS), hubs de automação residencial, sistemas de vigilância, alto-falantes inteligentes, e os dispositivos Pixel Watch e Chromecast do Google, todos em sua configuração padrão e rodando as últimas atualizações de segurança.

Embora nenhuma equipe se inscreveu para hackear os smartphones Apple iPhone 14 e Google Pixel 7, os competidores hackearam um Samsung Galaxy S23 totalmente atualizado quatro vezes.

A equipe Pentest Limited foi a primeira a demonstrar um zero-day no Samsung Galaxy S23, explorando uma fraqueza de validação de entrada imprópria para ganhar execução de código, ganhando $50,000 e 5 pontos Master of Pwn.

A equipe STAR Labs SG também explorou uma lista permissiva de entradas permitidas para hackear o principal produto da Samsung no primeiro dia, ganhando $25,000 (meio prêmio pela segunda rodada de direcionamento ao mesmo dispositivo) e 5 pontos Master of Pwn.

Pesquisadores de segurança da Interrupt Labs e da equipe ToChim também hackearam o Galaxy S22 no segundo dia da competição, explorando uma lista permissiva de entradas permitidas e outra fraqueza de validação de entrada imprópria.

A equipe Viettel venceu a competição, ganhando $180,000 e 30 pontos Master of Pwn.

Eles são seguidos no quadro de liderança pela equipe Orca da Sea Security com $116,250 (17,25 pontos) e DEVCORE Intern e Interrupt Labs (cada um com $50,000 e 10 pontos).

Os pesquisadores de segurança demonstraram com sucesso exploits direcionados a 58 zero-days em dispositivos de vários fornecedores, incluindo Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze, Lexmark e HP.

Você pode encontrar a programação completa do concurso aqui.

A programação completa para o primeiro dia do Pwn2Own Toronto 2023 e os resultados de cada desafio estão listados aqui.

Uma vez que as vulnerabilidades de zero-day exploradas durante o evento Pwn2Own são relatadas, os fornecedores têm 120 dias para liberar patches antes que a ZDI as divulgue publicamente.

Em março, durante a competição Pwn2Own Vancouver 2023, os competidores ganharam $1,035,000 e um carro Tesla Model 3 por 27 zero-day (e várias colisões de bugs).

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...