Pesquisadores de segurança hackearam o Samsung Galaxy S23 duas vezes durante o primeiro dia do concurso de hackers Pwn2Own 2023, voltado para os consumidores, em Toronto, Canadá.
Eles também demonstraram exploração de vulnerabilidades e cadeias de vulnerabilidades visando inéditos no smartphone Xiaomi 13 Pro, em impressoras, alto-falantes inteligentes, dispositivos de Armazenamento Conectado em Rede (NAS), e câmeras de vigilância da Western Digital, QNAP, Synology, Canon, Lexmark e Sonos.
A Pentest Limited foi a primeira a demonstrar um inédito no aparelho de ponta da Samsung, o Galaxy S23, explorando a fraqueza na validação de informações para ganhar a execução de códigos, ganhando assim $50.000 e 5 pontos no Master of Pwn.
A equipe da STAR Labs SG também explorou uma lista permissiva de entradas permitidas para hackear um Samsung Galaxy S23, ganhando $25.000 (metade do prêmio pela segunda rodada alvejando o mesmo dispositivo) e 5 pontos no Master of Pwn.
"Embora apenas a primeira demonstração em uma categoria ganhe o prêmio integral em dinheiro, cada inscrição bem-sucedida obtém a pontuação completa de Master of Pwn", explicam os organizadores.
"Como a ordem das tentativas é determinada por um sorteio aleatório, aqueles que recebem slots posteriores ainda podem reivindicar o título de Mestre do Pwn – mesmo ganhando menos dinheiro".
De acordo com as regras do concurso Pwn2Own Toronto 2023, todos os dispositivos alvo executam as versões mais recentes do sistema operacional com todas as atualizações de segurança instaladas.
ZDI concedeu $438.750 durante o primeiro dia do concurso por 23 vulnerabilidades inéditas demostradas com sucesso.
Durante o evento de hacking Pwn2Own Toronto 2023, organizado pela Trend Micro's Zero Day Initiative (ZDI), os competidores podem visar dispositivos móveis e de IoT.
A lista completa inclui celulares (ou seja, o Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23, e Xiaomi 13 Pro), impressoras, roteadores sem fio, dispositivos de Armazenamento Conectado em Rede (NAS), hubs de automação residencial, sistemas de vigilância, alto-falantes inteligentes, e os dispositivos Google's Pixel Watch e Chromecast, todos em sua configuração padrão e executando as atualizações de segurança mais recentes.
As maiores recompensas são para bugs inéditos na categoria celular, com prêmios em dinheiro de até $300.000 para hackear o iPhone 14 e $250.000 para o Pixel 7, com mais de $1.000.000 em dinheiro disponível para os participantes.
Explorações bem-sucedidas em dispositivos Google e Apple também proporcionam bônus de $50.000 se os payloads do ataque executarem com privilégio de nível de kernel, elevando o prêmio máximo possível para um único desafio a um total de $350.000 para uma cadeia de ataque completa com acesso de nível de kernel visando o Apple iPhone 14.
O cronograma completo para o primeiro dia do Pwn2Own Toronto 2023 e os resultados de cada desafio estão listados aqui.
No segundo dia do concurso, o Samsung Galaxy S23 será novamente testado pelo pesquisador de segurança Le Xich Long e hackers da empresa de pesquisa de vulnerabilidades Interrupt Labs.
Em março, durante a competição Pwn2Own Vancouver 2023, os pesquisadores foram premiados com $1.035.000 e um carro Tesla Model 3 por explorar 27 vulnerabilidades inéditas (e várias colisões de bugs) entre 22 e 24 de março.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...