На первый день конкурса Pwn2Own 2023 в Торонто, Канада, исследователи безопасности дважды взломали смартфон Samsung Galaxy S23. Они также продемонстрировали эксплойты и цепочки уязвимостей в смартфоне Xiaomi 13 Pro, а также в принтерах, умных колонках, устройствах сетевого хранилища (NAS) и камерах видеонаблюдения от Western Digital, QNAP, Synology, Canon, Lexmark и Sonos.
Компания Pentest Limited первой продемонстрироваланулевой день на флагманском устройстве Samsung Galaxy S23, использовав ошибку неправильной проверки ввода для выполнения кода, за что получила $50 000 и 5 баллов Master of Pwn.
Твит о взломе Samsung командой Pentest Limited
Команда STAR Labs SG также проэксплуатироваласписок разрешенных входов для взлома Samsung Galaxy S23, заработав $25 000 (половину приза за второй раунд атаки на то же устройство) и 5 баллов Master of Pwn.
Твит о взломе Samsung командой STAR Labs SG
Организаторы объяснили, что, хотя только первая демонстрация в категории выигрывает полную денежную награду, каждая успешная работа требует полного количества очков Master of Pwn. Поскольку порядок попыток определяется случайным образом, участники, получившие более поздние слоты, все равно могут претендовать на титул Master of Pwn, даже если они зарабатывают меньший денежный выигрыш.
Согласно правилам конкурса Pwn2Own Toronto 2023, на всех целевых устройствах работают последние версии операционной системы со всеми установленными обновлениями безопасности. В первый день конкурса выплачены призы на сумму $438 750 за 23 успешно продемонстрированные уязвимости нулевого дня.
Во время мероприятия Pwn2Own Toronto 2023, организованного Zero Day Initiative (ZDI) от Trend Micro, участники могли нацелиться на мобильные и IoT-устройства. Полный список включает смартфоны (например, Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 и Xiaomi 13 Pro), принтеры, беспроводные маршрутизаторы, устройства сетевого хранилища (NAS), системы домашней автоматизации, системы видеонаблюдения, умные колонки, а также устройства Google Pixel Watch и Chromecast, все в их стандартной конфигурации и с последними обновлениями безопасности.
Самые высокие награды предусмотрены за ошибки нулевого дня в категории мобильных телефонов: денежные призы в размере до $300 000 за взлом iPhone 14 и $250 000 за взлом Pixel 7, а общий фонд составляет более $1 000 000. Полное расписание Pwn2Own Toronto 2023 и результаты каждого испытания приведены на этой странице.
В марте во время конкурса Pwn2Own в Ванкувере, Канада исследователи безопасности успешно продемонстрировали эксплойты нулевого дня для Tesla Model 3, Windows 11 и macOS в борьбе за главный приз – $375 000 и автомобиль Tesla Model 3.