Pwn2Own Ireland 2025 bilgisayar korsanlığı yarışması, güvenlik araştırmacılarının 73 sıfır gün güvenlik açığından yararlandıktan sonra 1.024.750 $ nakit ödül toplamasıyla sona erdi.
Pwn2Own Ireland 2025'te rakipler, yazıcılar, ağ depolama sistemleri, mesajlaşma uygulamaları, akıllı ev cihazları, gözetim ekipmanları, ev ağı ekipmanları, amiral gemisi akıllı telefonlar (Apple iPhone 16, Samsung Galaxy S25 ve Google Pixel 9) ve giyilebilir teknoloji (Meta'nın Ray-Ban Akıllı Gözlükleri ve Quest 3/3S kulaklıkları dahil) dahil olmak üzere sekiz kategorideki ürünleri hedefledi.
Bu yılki yarışma aynı zamanda saldırı yüzeyini mobil cihazlarda USB bağlantı noktasından yararlanmayı da kapsayacak şekilde genişletti ve araştırmacıların kilitli cihazları fiziksel bir bağlantı aracılığıyla hacklemelerini gerektirdi. Ancak Bluetooth, Wi-Fi ve NFC (yakın alan iletişimi) gibi geleneksel kablosuz protokoller geçerli saldırı vektörleri olarak kaldı.
Meta'nın yanı sıra QNAP ve Synology'nin de sponsor olduğu bilgisayar korsanlığı yarışması 21 Ekim - 23 Ekim tarihleri arasında İrlanda'nın Cork kentinde gerçekleşti.
Summoning Team, Samsung Galaxy S25, Synology DiskStation DS925+ NAS, Home Assistant Green, Synology ActiveProtect Appliance DP320 NAS sürücüsünü, Synology CC400W kamerayı ve QNAP TS-453E NAS'ı hackledikten sonra üç günlük etkinlik boyunca 22 Master of Pwn puanı ve 187.500 $ kazanarak bu yılki Pwn2Own İrlanda edisyonunu kazandı. cihaz.
ANHTUD Takımı 76.750$ ve 11.5 Master of Pwn puanıyla ikinci sırayı alırken, Synactiv Takımı 90.000$ ödül ve 11 Master of Pwn puanıyla üçüncü sırayı aldı.
Pwn2Own İrlanda'nın ilk gününde bilgisayar korsanları 34 benzersiz sıfır günü istismar etti ve 522.500 ABD doları tutarında nakit ödül topladı. Etkinliğin ikinci gününde, 267.500 $ karşılığında 22 benzersiz sıfır gün güvenlik açığını daha tanıttılar.
Son günün en önemli olayı, Samsung Galaxy S25'in Interrupt Labs ekibi tarafından uygunsuz bir giriş doğrulama hatası yoluyla saldırıya uğramasıydı. Ekip, bu süreçte konum takibini ve kamerayı da etkinleştirdikten sonra 5 Master of Pwn puanı ve 50.000 $ kazandı.
Takım Z3'ün bugün sıfır günde WhatsApp Sıfır Tıklamayla uzaktan kod yürütmesini göstermesi planlanmış olsa da, 1 milyon dolarlık ödül almaya hak kazandı, ancak yarışmadan çekildiler. Araştırmalarını Meta'nın mühendislik ekibiyle paylaşmadan önce bulgularını ZDI analistlerine özel olarak açıklamayı seçtiler.
Sıfır Gün Girişimi (ZDI), bu bilgisayar korsanlığı yarışmasını, tehdit aktörlerinin saldırılarda bu açıkları istismar etmesinden önce güvenlik açıklarını belirlemek ve etkilenen satıcılarla sorumlu açıklamayı koordine etmek için düzenler.
Sıfır günlerin Pwn2Own'da kullanılmasının ardından, Trend Micro'nun Sıfır Gün Girişimi bunları kamuya açıklamadan önce satıcıların yamaları yayınlamaları için 90 günleri vardır.
Ocak 2026'da ZDI, yine Tesla'nın sponsorluğunda üçüncü Pwn2Own Otomotiv yarışması için Japonya'nın Tokyo kentindeki Otomotiv Dünyası teknoloji fuarında olacak.
Ortamların %46'sında şifreler kırıldı; bu oran geçen yılki %25'ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025'i hemen edinin.
Pwn2Own 2. Gün: Bilgisayar korsanları 267.500 $ karşılığında 22 sıfır günü istismar ediyor
Bilgisayar korsanları Pwn2Own İrlanda'nın ilk gününde 34 sıfır günü istismar etti
Zeroday Cloud hackleme yarışmasında 4,5 milyon dolar ödül teklif edildi
CISA, bilgisayar korsanlarının Oracle E-Business Suite SSRF kusurundan yararlandığını doğruladı
Oracle, ShinyHunters tarafından sızdırılan sıfır gün istismarını sessizce düzeltir
Kaynak: Bleeping Computer