Pesquisadores de segurança somaram US$ 792.750 em prêmios ao explorarem 56 vulnerabilidades zero-day únicas no segundo dia da competição de hacking Pwn2Own Ireland 2025.
O destaque do dia foi a dupla Ken Gannon, do Mobile Hacking Lab, e Dimitrios Valsamaras, do Summoning Team, que invadiu o Samsung Galaxy S25 ao explorar uma cadeia de cinco falhas de segurança.
Pela façanha, eles receberam US$ 50.000 e 5 pontos no ranking Master of Pwn.
Além disso, o grupo PHP Hooligans conseguiu hackear o dispositivo NAS QNAP TS-453E em apenas um segundo.
No entanto, a vulnerabilidade explorada por eles já havia sido utilizada anteriormente na competição.
Outros pesquisadores também foram premiados com US$ 20.000 por invasões bem-sucedidas nos dispositivos QNAP TS-453E, Synology DS925+ e Philips Hue Bridge.
São eles: Chumy Tsai, da CyCraft Technology; Le Trong Phuc e Cao Ngoc Quy, da Verichains Cyber Force; além da dupla Mehdi e Matthieu, da Synacktiv Team.
Durante o evento, foram exploradas vulnerabilidades zero-day em diversos equipamentos, como a impressora Canon imageCLASS MF654Cdw, o sistema de automação residencial Home Automation Green, a câmera Synology CC400W, o plugue inteligente Amazon Smart Plug e a impressora Lexmark CX532adwe.
Com os resultados dos dois primeiros dias, o Summoning Team lidera o ranking Master of Pwn com 18 pontos e já acumulou US$ 167.500 em prêmios.
No primeiro dia do Pwn2Own Ireland, foram demonstradas 34 vulnerabilidades zero-day, resultando em premiações que somaram US$ 522.500.
Após o término da competição, os fornecedores têm até 90 dias para liberar patches antes que o ZDI divulgue publicamente as falhas.
No terceiro e último dia do evento, os participantes voltarão a mirar no Samsung Galaxy S25, além de dispositivos NAS e impressoras.
Eugene, do Team Z3, tentará demonstrar uma vulnerabilidade zero-click no WhatsApp que pode render um prêmio de US$ 1 milhão, caso seja explorada com sucesso.
O Pwn2Own Ireland 2025 é co-patrocinado pela Meta, Synology e QNAP, com a competição acontecendo de 21 a 24 de outubro na cidade de Cork.
A edição deste ano inclui oito categorias que abrangem smartphones topo de linha — como Samsung Galaxy S25, Apple iPhone 16 e Google Pixel 9 — além de impressoras, sistemas de armazenamento em rede, equipamentos para redes domésticas, aplicativos de mensagens, dispositivos smart home, equipamentos de vigilância e tecnologia vestível, incluindo os headsets Meta Quest 3/3S e os óculos inteligentes Ray-Ban Smart Glasses.
Uma novidade desta edição é a ampliação dos vetores de ataque para incluir exploração via porta USB em smartphones, exigindo que os pesquisadores consigam hackear telefones bloqueados por meio de conexão física.
Ainda assim, vetores tradicionais como Wi-Fi, Bluetooth e Near Field Communication (NFC) continuam válidos para exploração.
Na edição de 2024, os hackers receberam US$ 1.078.750 após identificarem mais de 70 vulnerabilidades zero-day.
O Viettel Cyber Security foi destaque ao embolsar US$ 205.000 por explorar falhas nos sistemas da QNAP, Sonos e Lexmark.
Em janeiro de 2026, o ZDI retornará à feira Automotive World, em Tóquio, para a terceira edição do Pwn2Own Automotive, que mais uma vez contará com o patrocínio da Tesla.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...