Güvenlik araştırmacıları, Toronto, Kanada'daki tüketici odaklı PWN2OWN 2023 Hacking yarışmasının ilk gününde Samsung Galaxy S23'ü iki kez hackledi.
Ayrıca Xiaomi'nin 13 Pro Smartphone'unda sıfır günleri hedefleyen istismarları ve güvenlik açığı zincirlerinin yanı sıra yazıcılar, akıllı hoparlörler, ağ ekli depolama (NAS) cihazları ve Western Digital, QNAP, Synology, Canon, Lexmark ve Sonos'tan gözetim kameraları .
Pentest Limited, Samsung'un amiral gemisi Galaxy S23 cihazında sıfır gün, kod yürütme kazanmak için uygunsuz girdi doğrulama zayıflığından yararlanarak 50.000 dolar ve 5 PWN puanını kazanarak ilk olarak sıfırladı.
Star Labs SG ekibi ayrıca, bir Samsung Galaxy S23'ü hacklemek için izin verilen girişlerin izin verdiği ve 25.000 $ (aynı cihazı hedeflemenin ikinci turu için yarım ödül) ve 5 Master PWN puanı kazandı.
Organizatörler, "Sadece bir kategorideki ilk gösteri tam nakit ödülü kazanırken, her başarılı giriş PWN puanlarının tam sayısını iddia ediyor."
Diyerek şöyle devam etti: "Denemelerin sırası rastgele bir çekilişle belirlendiğinden, daha sonraki yuvalar alanlar, daha düşük bir nakit ödemesi kazansa bile PWN unvanının ustasını talep edebilirler."
PWN2OWN Toronto 2023 Yarışma Kurallarına göre, tüm hedeflenen cihazlar, tüm güvenlik güncellemeleri yüklü en son işletim sistemi sürümlerini çalıştırır.
ZDI, ilk gün boyunca 25 sıfır günlük güvenlik açıkları için 438.750 dolar verdi ve deniz güvenliği Orca, bir Sonos Era 100'ü için en yüksek 60.000 dolar ödülü kazandı.
Trend Micro'nun Sıfır Gün Girişimi (ZDI) tarafından düzenlenen PWN2OWN TORONTO 2023 Hacking etkinliği sırasında, rakipler mobil ve IoT cihazlarını hedefleyebilir.
Tam listede cep telefonları (yani Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 ve Xiaomi 13 Pro), yazıcılar, kablosuz yönlendiriciler, ağa bağlı depolama (NAS) cihazları, ev otomasyon merkezleri, gözetim sistemleri, akıllı Hoparlörler ve Google'ın Pixel Watch ve Chromecast cihazları, hepsi varsayılan yapılandırmalarında ve en son güvenlik güncellemelerini çalıştırır.
En yüksek ödüller, cep telefonu kategorisindeki sıfır gün hataları içindir, iPhone 14'ü hacklemek için 300.000 dolara ve Pixel 7 için 250.000 $ 'a kadar, yarışmacılar için 1.000.000 $' dan fazla nakittir.
Google ve Apple cihazlarını başarıyla istismar etmek, istismar yükleri çekirdek seviyesi ayrıcalık ile yürütülürse, elma iphone 14'ü hedefleyen tam bir istismar zinciri için toplam 350.000 $ 'a kadar tek bir meydan okuma için mümkün olan maksimum ödülü getirirse 50.000 $ bonus sağlar. .
Yarışma yarışmasının tüm programını burada bulabilirsiniz. Pwn2own Toronto 2023'ün ilk günü ve her zorluk için sonuçlar burada listelenmiştir.
Yarışmanın ikinci gününde, Samsung Galaxy S23, güvenlik araştırmacısı Le Xich Long ve güvenlik açığı araştırma firması Kesme Laboratuarlarında hackerlar tarafından tekrar test edilecek.
Mart ayında, PWN2own Vancouver 2023 yarışması sırasında, araştırmacılara 22 ve 24 Mart ayları arasında 27 sıfır gün (ve birkaç hata çarpışması) sömürmek için 1.035.000 dolar ve Tesla Model 3 otomobili verildi.
Samsung Galaxy S23, PWN2OWN TORONTO'da iki kez daha hackledi
Avrupa Govt E-posta Sunucuları Roundcube Zero-Day Kullanarak Hacklendi
Hackerlar Enfekte Cihazları gizlemek için Cisco IOS XE Backdoor'u Güncelle
Cisco, 50.000'den fazla cihazı hacklemek için kullanılan sıfır günleri IOS XE sıfır günleri
Sıfır gün kullanılarak arka kapı ile enfekte 40.000'den fazla Cisco IOS XE cihazı
Kaynak: Bleeping Computer