Ο διαγωνισμός hacking Pwn2Own Ireland 2025 ολοκληρώθηκε με τους ερευνητές ασφαλείας να συγκεντρώνουν χρηματικά βραβεία 1.024.750 δολαρίων μετά την εκμετάλλευση 73 τρωτών σημείων zero-day.
Στο Pwn2Own Ireland 2025, ανταγωνιστές στοχευμένα προϊόντα σε οκτώ κατηγορίεςσυμπεριλαμβανομένων εκτυπωτών, συστημάτων αποθήκευσης δικτύου, εφαρμογών ανταλλαγής μηνυμάτων, έξυπνων οικιακών συσκευών, εξοπλισμού παρακολούθησης, εξοπλισμού οικιακής δικτύωσης, κορυφαίων smartphone (Apple iPhone 16, Samsung Galaxy S25 και Google Pixel 9) και τεχνολογίας φορητών συσκευών (συμπεριλαμβανομένων των έξυπνων γυαλιών Ray-Ban της Meta και ακουστικών Quest 3/3S).
Ο φετινός διαγωνισμός επέκτεινε επίσης την επιφάνεια επίθεσης για να συμπεριλάβει την εκμετάλλευση θύρας USB σε φορητές συσκευές, απαιτώντας από τους ερευνητές να χακάρουν κλειδωμένες συσκευές μέσω φυσικής σύνδεσης. Ωστόσο, τα παραδοσιακά ασύρματα πρωτόκολλα όπως το Bluetooth, το Wi-Fi και το NFC (επικοινωνία κοντινού πεδίου) παρέμειναν έγκυροι φορείς επίθεσης.
Ο διαγωνισμός hacking, με τη χορηγία της Meta μαζί με την QNAP και τη Synology, έλαβε χώρα από τις 21 έως τις 23 Οκτωβρίου στο Κορκ της Ιρλανδίας.
Το Summoning Team κέρδισε τη φετινή έκδοση του Pwn2Own Ireland με 22 πόντους Master of Pwn και 187.500 $ που κέρδισαν κατά τη διάρκεια του τριήμερου γεγονότος μετά από χάκαρισμα του Samsung Galaxy S25, του Synology DiskStation DS925+ NAS, του Home Assistant Green, του Synology ActiveProtect Synology, the Synology ActiveProtect N4300li. κάμερα και το QNAP TS-453E NAS συσκευή.
Η ομάδα ANHTUD εξασφάλισε τη δεύτερη θέση με $76.750 και 11,5 πόντους Master of Pwn, ενώ η Team Synactiv κατέλαβε την τρίτη θέση με $90.000 σε έπαθλα και 11 πόντους Master of Pwn.
Την πρώτη ημέρα του Pwn2Own Ireland, οι χάκερ εκμεταλλεύτηκαν 34 μοναδικές μηδενικές ημέρες και συγκέντρωσαν 522.500 δολάρια σε χρηματικά βραβεία. Τη δεύτερη ημέρα της εκδήλωσης, παρουσίασαν άλλα 22 μοναδικά τρωτά σημεία zero-day για $267.500.
Το αποκορύφωμα της τελευταίας ημέρας ήταν το Το Samsung Galaxy S25 παραβιάστηκε από την ομάδα της Interrupt Labs μέσω ενός ακατάλληλου σφάλματος επικύρωσης εισαγωγής, ο οποίος κέρδισε 5 πόντους Master of Pwn και 50.000 $ αφού επέτρεψε επίσης την παρακολούθηση τοποθεσίας και την κάμερα στη διαδικασία.
Ενώ η ομάδα Z3 είχε επίσης προγραμματιστεί σήμερα να επιδείξει έναν απομακρυσμένο κώδικα μηδενικής εκτέλεσης του WhatsApp Zero-Click, επιλέξιμο για ανταμοιβή 1 εκατομμυρίου $, αποχώρησε από τον διαγωνισμό. Επέλεξαν να αποκαλύψουν τα ευρήματά τους ιδιωτικά σε αναλυτές της ZDI προτού μοιραστούν την έρευνά τους με την ομάδα μηχανικών της Meta.
Η Πρωτοβουλία Zero Day (ZDI) διοργανώνει αυτόν τον διαγωνισμό hacking για να εντοπίσει τρωτά σημεία ασφαλείας προτού οι φορείς απειλής μπορέσουν να τα εκμεταλλευτούν σε επιθέσεις και να συντονίσουν την υπεύθυνη αποκάλυψη με τους επηρεαζόμενους προμηθευτές.
Μετά την εκμετάλλευση των zero-days στο Pwn2Own, οι προμηθευτές έχουν 90 ημέρες για να εκδώσουν ενημερώσεις κώδικα προτού το Zero Day Initiative της Trend Micro τα αποκαλύψει δημόσια.
Τον Ιανουάριο του 2026, το ZDI θα είναι και πάλι στην έκθεση τεχνολογίας Automotive World στο Τόκιο της Ιαπωνίας, για τον τρίτο διαγωνισμό Pwn2Own Automotiveμε χορηγία και πάλι από την Tesla
Το 46% των περιβαλλόντων είχαν σπάσει κωδικούς πρόσβασης, σχεδόν διπλασιασμένος από 25% πέρυσι.
Λάβετε τώρα την Έκθεση Picus Blue 2025 για μια ολοκληρωμένη ματιά σε περισσότερα ευρήματα σχετικά με τις τάσεις πρόληψης, ανίχνευσης και διείσδυσης δεδομένων.
VIA: bleepingcomputer.com
