压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

2023年P(guān)wn2Own黑客大賽在多倫多落下帷幕。10月24日至27日期間，安全研究人員發(fā)現(xiàn)針對(duì)消費(fèi)產(chǎn)品的58個(gè)零日漏洞（其中部分漏洞由不同隊(duì)伍同時(shí)發(fā)現(xiàn)），領(lǐng)取1038500美元（約合人民幣760萬(wàn)元）的獎(jiǎng)金。

Pwn2Own黑客大賽由趨勢(shì)科技旗下的零日計(jì)劃（ZDI）組織，安全研究人員針對(duì)移動(dòng)設(shè)備和物聯(lián)網(wǎng)設(shè)備等進(jìn)行攻擊。

各類數(shù)字產(chǎn)品接連被破

本屆大賽上，被攻擊設(shè)備包括移動(dòng)電話（蘋果iPhone 14、谷歌Pixel 7、三星Galaxy S23和小米13 Pro）、打印機(jī)、無(wú)線路由器、網(wǎng)絡(luò)附加存儲(chǔ)（NAS）設(shè)備、家庭自動(dòng)化中心、監(jiān)控系統(tǒng)、智能音響，以及谷歌Pixel手表和Chromecast設(shè)備。所有設(shè)備都采用默認(rèn)配置、運(yùn)行最新安全更新的系統(tǒng)。

沒(méi)有團(tuán)隊(duì)報(bào)名攻擊蘋果iPhone 14和谷歌Pixel 7智能手機(jī)，但參賽者成功對(duì)一只已經(jīng)完全修補(bǔ)的三星Galaxy S23發(fā)起四次攻擊。

Pentest Limited團(tuán)隊(duì)首次演示了三星Galaxy S23的零日漏洞。他們利用輸入驗(yàn)證不當(dāng)?shù)娜觞c(diǎn)執(zhí)行代碼，賺取了5萬(wàn)美元和5個(gè)Pwn大師積分。

比賽第一天，STAR Labs SG 團(tuán)隊(duì)利用允許輸入的列表攻擊了三星的旗艦產(chǎn)品，賺取了 2.5 萬(wàn)美元獎(jiǎng)金（第二輪針對(duì)同一設(shè)備的獎(jiǎng)金減半）和 5 個(gè) Pwn 大師積分。

比賽第二天，Interrupt Labs和ToChim團(tuán)隊(duì)的安全研究人員成功攻擊了Galaxy S22。他們利用的是允許輸入的列表和另一個(gè)輸入驗(yàn)證不當(dāng)?shù)娜觞c(diǎn)。

2023年多倫多Pwn2Own黑客大賽最終排行榜（ZDI）

Viettel團(tuán)隊(duì)最終贏得了本次黑客大賽的冠軍，賺取了1.8萬(wàn)美元和30個(gè)Pwn大師積分。排名第二的是Sea Security的Orca團(tuán)隊(duì)（116250美元，17.25分）。DEVCORE Intern團(tuán)隊(duì)和Interrupt Labs團(tuán)隊(duì)并列第三，均獲得5萬(wàn)美元和10個(gè)積分。

安全研究人員成功演示如何利用58個(gè)零日漏洞攻擊多個(gè)供應(yīng)商的設(shè)備，包括小米、西部數(shù)據(jù)、群暉、佳能、利盟、Sonos、TP-Link、威聯(lián)通、Wyze、惠普等。

Pwn2Own大賽期間利用的零日漏洞被報(bào)告后，供應(yīng)商有120天的時(shí)間發(fā)布補(bǔ)丁。之后，零日計(jì)劃會(huì)公開披露這些漏洞。

今年三月，2023年溫哥華Pwn2Own黑客大賽期間，參賽者發(fā)現(xiàn)27個(gè)零日漏洞（其中部分漏洞由不同隊(duì)伍同時(shí)發(fā)現(xiàn)），贏得了1035000美元將近和一輛特斯拉Model 3汽車。

參考資料：https://www.bleepingcomputer.com/news/security/hackers-earn-over-1-million-for-58-zero-days-at-pwn2own-toronto/

來(lái)源：安全內(nèi)參