PWN2OWN Toronto 2023 Hacking Yarışması, 24 Ekim ve 27 Ekim tarihleri arasında tüketici ürünlerini hedefleyen 58 sıfır gün istismarı (ve birden fazla hata çarpışması) için 1.038.500 dolar kazanan güvenlik araştırmacılarıyla sona erdi.
Trend Micro'nun Sıfır Günü Girişimi (ZDI) tarafından düzenlenen PWN2OWN Toronto 2023 hackleme etkinliği sırasında güvenlik araştırmacıları mobil ve IoT cihazlarını hedef aldı.
Tam listede cep telefonları (yani Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 ve Xiaomi 13 Pro), yazıcılar, kablosuz yönlendiriciler, ağa bağlı depolama (NAS) cihazları, ev otomasyon merkezleri, gözetim sistemleri, akıllı Hoparlörler ve Google'ın Pixel Watch ve Chromecast cihazları, hepsi varsayılan yapılandırmalarında ve en son güvenlik güncellemelerini çalıştırır.
Apple iPhone 14 ve Google Pixel 7 akıllı telefonları hacklemek için hiçbir ekip kaydolmamış olsa da, yarışmacılar tamamen yamalı bir Samsung Galaxy S23'ü dört kez hackledi.
En Pentest Limited ekibi, Samsung Galaxy S23'te sıfır gün demodu ve kod yürütme kazanmak için uygunsuz girdi doğrulama zayıflığından yararlanan, 50.000 dolar ve 5 Master PWN puanı kazandı.
Star Labs SG ekibi ayrıca, Samsung'un amiral gemisini ilk gün hacklemek için izin verilen girişlerin izin verdiği bir listeden yararlandı ve 25.000 dolar (aynı cihazı hedeflemenin ikinci turu için yarım ödül) ve 5 Master PWN puanını kazandı.
Kesinti laboratuvarları ve Tochim ekibi olan güvenlik araştırmacıları, izinli bir izin verilen giriş listesini ve başka bir uygunsuz giriş doğrulama zayıflığından yararlanarak yarışmanın ikinci gününde Galaxy S22'yi hackledi.
Viettel Takımı yarışmayı kazandı ve 180.000 dolar ve 30 Master PWN puan kazandı. Bunlar 116.250 $ (17.25 puan) ve Devcore Stajyer ve Kesme Laboratuarları (her biri 50.000 $ ve 10 puanla) ile Sea Security Team ORCA tarafından takip edilmektedir.
Güvenlik araştırmacıları, Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze, Lexmark ve HP dahil olmak üzere birden fazla satıcıdan cihazlarda 58 sıfır gün hedefleyen istismarları başarıyla demo ettiler.
Yarışma yarışmasının tüm programını burada bulabilirsiniz. Pwn2own Toronto 2023'ün ilk günü ve her zorluk için sonuçlar burada listelenmiştir.
PWN2OWN etkinliği sırasında kullanılan sıfır günlük güvenlik açıkları bildirildikten sonra, satıcıların ZDI bunları kamuya açıklamadan önce yamaları serbest bırakmak için 120 günü vardır.
Mart ayında, PWN2own Vancouver 2023 yarışması sırasında, rakipler 1.035.000 dolar ve 27 sıfır gün (ve birkaç hata çarpışması) için Tesla Model 3 otomobili kazandı.
Samsung Galaxy S23, PWN2OWN TORONTO'da iki kez daha hackledi
Samsung Galaxy S23, Pwn2own Toronto'nun ilk gününde iki kez hacklendi
Hackerone Ödeme Etik Hacker'ları 300 milyon doların üzerinde böcek ödüllerinde
Nijeryalı Polis, siber suç işe alımını, mentorluk hub'ını söküyor
Siber Güvenlik Sertifikasyon Eğitiminin 65'ten fazla kursunda 90 $ tasarruf edin
Kaynak: Bleeping Computer