A competição de hacking Pwn2Own Toronto 2023 terminou com pesquisadores de segurança ganhando $1,038,500 por 58 exploits de zero-day (e várias colisões de bugs) direcionados a produtos de consumo entre 24 e 27 de outubro.
Durante o evento de hacking Pwn2Own Toronto 2023 organizado pela Iniciativa Zero Day da Trend Micro (ZDI), os pesquisadores de segurança miraram em dispositivos móveis e IoT.
A lista completa inclui celulares (ou seja, Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 e Xiaomi 13 Pro), impressoras, roteadores sem fio, dispositivos de armazenamento conectados à rede (NAS), hubs de automação residencial, sistemas de vigilância, alto-falantes inteligentes, e os dispositivos Pixel Watch e Chromecast do Google, todos em sua configuração padrão e rodando as últimas atualizações de segurança.
Embora nenhuma equipe se inscreveu para hackear os smartphones Apple iPhone 14 e Google Pixel 7, os competidores hackearam um Samsung Galaxy S23 totalmente atualizado quatro vezes.
A equipe Pentest Limited foi a primeira a demonstrar um zero-day no Samsung Galaxy S23, explorando uma fraqueza de validação de entrada imprópria para ganhar execução de código, ganhando $50,000 e 5 pontos Master of Pwn.
A equipe STAR Labs SG também explorou uma lista permissiva de entradas permitidas para hackear o principal produto da Samsung no primeiro dia, ganhando $25,000 (meio prêmio pela segunda rodada de direcionamento ao mesmo dispositivo) e 5 pontos Master of Pwn.
Pesquisadores de segurança da Interrupt Labs e da equipe ToChim também hackearam o Galaxy S22 no segundo dia da competição, explorando uma lista permissiva de entradas permitidas e outra fraqueza de validação de entrada imprópria.
A equipe Viettel venceu a competição, ganhando $180,000 e 30 pontos Master of Pwn.
Eles são seguidos no quadro de liderança pela equipe Orca da Sea Security com $116,250 (17,25 pontos) e DEVCORE Intern e Interrupt Labs (cada um com $50,000 e 10 pontos).
Os pesquisadores de segurança demonstraram com sucesso exploits direcionados a 58 zero-days em dispositivos de vários fornecedores, incluindo Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze, Lexmark e HP.
Você pode encontrar a programação completa do concurso aqui.
A programação completa para o primeiro dia do Pwn2Own Toronto 2023 e os resultados de cada desafio estão listados aqui.
Uma vez que as vulnerabilidades de zero-day exploradas durante o evento Pwn2Own são relatadas, os fornecedores têm 120 dias para liberar patches antes que a ZDI as divulgue publicamente.
Em março, durante a competição Pwn2Own Vancouver 2023, os competidores ganharam $1,035,000 e um carro Tesla Model 3 por 27 zero-day (e várias colisões de bugs).
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...