2023 Pwn2Own黑客大賽:三星旗艦機被攻破4次、獎金超700萬
責(zé)編:gltian |2023-11-01 16:17:412023年P(guān)wn2Own黑客大賽在多倫多落下帷幕。10月24日至27日期間,安全研究人員發(fā)現(xiàn)針對消費產(chǎn)品的58個零日漏洞(其中部分漏洞由不同隊伍同時發(fā)現(xiàn)),領(lǐng)取1038500美元(約合人民幣760萬元)的獎金。
Pwn2Own黑客大賽由趨勢科技旗下的零日計劃(ZDI)組織,安全研究人員針對移動設(shè)備和物聯(lián)網(wǎng)設(shè)備等進行攻擊。
各類數(shù)字產(chǎn)品接連被破
本屆大賽上,被攻擊設(shè)備包括移動電話(蘋果iPhone 14、谷歌Pixel 7、三星Galaxy S23和小米13 Pro)、打印機、無線路由器、網(wǎng)絡(luò)附加存儲(NAS)設(shè)備、家庭自動化中心、監(jiān)控系統(tǒng)、智能音響,以及谷歌Pixel手表和Chromecast設(shè)備。所有設(shè)備都采用默認配置、運行最新安全更新的系統(tǒng)。
沒有團隊報名攻擊蘋果iPhone 14和谷歌Pixel 7智能手機,但參賽者成功對一只已經(jīng)完全修補的三星Galaxy S23發(fā)起四次攻擊。
Pentest Limited團隊首次演示了三星Galaxy S23的零日漏洞。他們利用輸入驗證不當(dāng)?shù)娜觞c執(zhí)行代碼,賺取了5萬美元和5個Pwn大師積分。
比賽第一天,STAR Labs SG 團隊利用允許輸入的列表攻擊了三星的旗艦產(chǎn)品,賺取了 2.5 萬美元獎金(第二輪針對同一設(shè)備的獎金減半)和 5 個 Pwn 大師積分。
比賽第二天,Interrupt Labs和ToChim團隊的安全研究人員成功攻擊了Galaxy S22。他們利用的是允許輸入的列表和另一個輸入驗證不當(dāng)?shù)娜觞c。
2023年多倫多Pwn2Own黑客大賽最終排行榜(ZDI)
Viettel團隊最終贏得了本次黑客大賽的冠軍,賺取了1.8萬美元和30個Pwn大師積分。排名第二的是Sea Security的Orca團隊(116250美元,17.25分)。DEVCORE Intern團隊和Interrupt Labs團隊并列第三,均獲得5萬美元和10個積分。
安全研究人員成功演示如何利用58個零日漏洞攻擊多個供應(yīng)商的設(shè)備,包括小米、西部數(shù)據(jù)、群暉、佳能、利盟、Sonos、TP-Link、威聯(lián)通、Wyze、惠普等。
Pwn2Own大賽期間利用的零日漏洞被報告后,供應(yīng)商有120天的時間發(fā)布補丁。之后,零日計劃會公開披露這些漏洞。
今年三月,2023年溫哥華Pwn2Own黑客大賽期間,參賽者發(fā)現(xiàn)27個零日漏洞(其中部分漏洞由不同隊伍同時發(fā)現(xiàn)),贏得了1035000美元將近和一輛特斯拉Model 3汽車。
參考資料:https://www.bleepingcomputer.com/news/security/hackers-earn-over-1-million-for-58-zero-days-at-pwn2own-toronto/
來源:安全內(nèi)參
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧