Bleeping Computer 网站披露,加拿大多伦多举行的 Pwn2Own 2023 黑客大赛的第一天,网络安保钻研人员就成功两次攻破三星 Galaxy S23。
大会现场,钻研人员还“演示"了针对小米 13 Pro 智能手机、打印机、智能扬声器、网络附加存储 (NAS) 设施以及 Western Digital、QNAP、Synology、Canon、Lexmark 和 Sonos 的监控摄像头号设施零日破绽应用和破绽链。
Pentest Limited 团队率先应用三星旗舰设施 Galaxy S23存在的零日破绽成功口头了不正确的输入验证攻打,从而取得了 50000 美元和 5 个 "Pwn 巨匠 "积分。STAR Labs SG 团队则应用准许输入的列表入侵了三星 Galaxy S23,取得 2.5 万美元奖金(第二轮针对同一设施的奖金减半)和 5 个 Pwn 巨匠积分。
赛事规定方面,组织方示意只管只要在一个类别中第一个演示的参赛者能力取得全额现金鼓励,但每个成功演示的参赛者都能取得所有的'Pwn巨匠'积分。此外,鉴于参赛人员的“演示顺序”随机抽签选择,因此取得较晚名额的参赛者依然可以取得'Pwn巨匠'名称(取得现金报酬会较低些)。
依据 Pwn2Own 多伦多 2023 竞赛规定,一切指标设施都必定运转最新的操作系统版本,并装置一切安保降级。在较量的第一天, 网络零日方案(ZDI) 为 23 个成功演示零日破绽的参赛人员颁发了 438750 美元的奖金。
超百万美元的赛事奖金
趋向科技零日方案(ZDI)组织的 Pwn2Own 多伦多 2023 黑客大赛时期,参赛者可以针对移动设施和物联网设施启动网络攻打,其中可被攻打的设施清单包含手机(即苹果 iPhone 14、谷歌 Pixel 7、三星 Galaxy S23 和小米 13 Pro)、打印机、无线路由器、网络附加存储 (NAS) 设施、家庭智能化集线器、监控系统、智能扬声器以及谷歌的 Pixel Watch 和 Chromecast 设施,一切以上设施都处于自动性能并运转最新的安保降级。
鼓励最高的是手机类的零日破绽,参赛人员成功攻打 iPhone 14 最高可取得 30 万美元现金鼓励,攻打 Pixel 7 最高可取得 25 万美元现金鼓励,假设应用有效载荷以内核级权限口头,成功应用谷歌和苹果设施还将取得50000美元的奖金,针对苹果 iPhone 14 的具备内核级访问权限的完整应用链,单项应战赛的最高奖金可达 35 万美元。粗略计算,若是一切”演示“都取得不错成果,参赛人员最高可取得百万美元。
值得留意的是,早在 2023 年 3 月温哥华 Pwn2Own 大赛中,钻研人员因成功应用 27 个零日(以及几次失误碰撞)取得了 1035000 美元和一辆特斯拉 Model 3 汽车。