Pwn2Own多伦多2023黑客大赛已落下帷幕,安全研究人员在10月24日至10月27日期间针对消费类产品进行了58次零日漏洞利用(以及多次漏洞碰撞),共获得了103.85万美元的收入。
在趋势科技零日计划(ZDI)组织的Pwn2Own多伦多2023黑客大赛期间,安全研究人员以移动和物联网设备为攻击目标。
完整的名单包括手机(即苹果iPhone14、GooglePixel7、三星GalaxyS23和小米13Pro)、打印机、无线路由器、网络附加存储(NAS)设备、家庭自动化集线器、监控系统、智能扬声器以及Google的PixelWatch和Chromecast设备,所有这些设备都处于默认配置并运行最新的安全更新。
虽然没有参赛队报名入侵苹果iPhone14和GooglePixel7智能手机,但参赛选手四次入侵了打满补丁的三星GalaxyS23。
PentestLimited团队率先演示了三星GalaxyS23的零日漏洞,利用输入验证不当的弱点获得了代码执行权,赢得了5万美元和5个"Pwn大师"积分。
STARLabsSG团队也在第一天利用允许输入的列表入侵了三星的旗舰产品,获得了2.5万美元奖金(第二轮针对同一设备的奖金减半)和5个Pwn大师积分。
InterruptLabs和ToChim团队的安全研究人员也在第二天的比赛中利用允许输入的列表和另一个输入验证不当的弱点入侵了GalaxyS22。
Viettel团队赢得了比赛,获得18万美元和30个Pwn大师积分。紧随其后的是SeaSecurity的Orca团队,获得116250美元(17.25分),以及DEVCOREIntern和InterruptLabs(各获得50000美元和10分)。
安全研究人员已成功演示了针对多家厂商设备的58个零点漏洞,包括小米、西部数据、群晖、佳能、利盟、Sonos、TP-Link、QNAP、Wyze、利盟和惠普。
你可以在这里找到比赛的完整日程表:
https://www.zerodayinitiative.com/blog/2023/10/23/pwn2own-toronto-2023-the-schedule
Pwn2Own多伦多2023第一天的完整日程和每项挑战的结果都列在这里:
https://www.zerodayinitiative.com/blog/2023/10/24/pwn2own-toronto-2023-day-one-results
一旦在Pwn2Own活动中被利用的零日漏洞被报告,供应商有120天的时间在ZDI公开披露之前发布补丁。
今年3月,在Pwn2OwnVancouver2023比赛期间,参赛者利用27个零日漏洞(和几个漏洞碰撞)赢得了1,035,000美元和一辆特斯拉Model3汽车。
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】