Ερευνητές ασφαλείας συγκέντρωσαν 792.750 δολάρια σε μετρητά μετά την εκμετάλλευση 56 μοναδικών τρωτών σημείων zero-day κατά τη δεύτερη ημέρα του διαγωνισμού hacking Pwn2Own Ireland 2025.
Το αποκορύφωμα της σημερινής ημέρας ήταν ο Ken Gannon του Mobile Hacking Lab και ο Dimitrios Valsamaras της Summoning Team που χακάρει το Samsung Galaxy S25 με μια αλυσίδα από πέντε ελαττώματα ασφαλείαςκερδίζοντας 50.000 $ και 5 πόντους Master of Pwn.
Επίσης, ενώ οι PHP Hooligans χρειαζόταν μόνο ένα δευτερόλεπτο για να χακάρουν τη συσκευή QNAP TS-453E NAS, η ευπάθεια που εκμεταλλεύτηκαν είχε ήδη χρησιμοποιηθεί στον διαγωνισμό.
Ο Chumy Tsai της CyCraft Technology, οι Le Trong Phuc και Cao Ngoc Quy της Verichains Cyber Force και οι Mehdi & Matthieu της Synacktiv Team βραβεύτηκαν επίσης με $20.000 για την εισβολή στο QNAP TS-453E, το Synology DS925+ και το Phillips Hue Bridge.
Οι διαγωνιζόμενοι εκμεταλλεύτηκαν επίσης σφάλματα zero-day στον εκτυπωτή Canon imageCLASS MF654Cdw, το Home Automation Green, την κάμερα Synology CC400W, το Synology DS925+ NAS, το Amazon Smart plug και τον εκτυπωτή Lexmark CX532adwe.
Η κλήση της ομάδας είναι ακόμα στην κορυφή του βαθμολογικού πίνακα Master of Pwn με 18 πόντους αφού κέρδισε $167.500 κατά τις δύο πρώτες ημέρες της διοργάνωσης.
Την πρώτη ημέρα του Pwn2Own Ireland, οι ερευνητές παρουσίασαν 34 μοναδικές μηδενικές ημέρες και συγκέντρωσαν 522.500 δολάρια σε χρηματικά βραβεία. Μετά τη λήξη του διαγωνισμού, οι πωλητές έχουν στη διάθεσή τους 90 ημέρες για να εκδώσουν ενημερώσεις κώδικα προτού η ZDI αποκαλύψει δημόσια τα τρωτά σημεία.
Την τρίτη και τελευταία μέρα του Pwn2Ownθα στοχεύουν ξανά το Samsung Galaxy S25, καθώς και πολλές συσκευές και εκτυπωτές NAS. Ο Eugene της Ομάδας Z3 θα επιχειρήσει επίσης να επιδείξει ένα σφάλμα απομακρυσμένης εκτέλεσης κώδικα WhatsApp Zero-Click που είναι κατάλληλο για ανταμοιβή 1 εκατομμυρίου $.
Η Meta συγχρηματοδοτεί το Pwn2Own Ireland 2025 μαζί με το Synology και το QNAP, με τον διαγωνισμό hacking να λαμβάνει χώρα από τις 21 Οκτωβρίου έως τις 24 Οκτωβρίου στο Κορκ.
Pwn2Own Ireland 2025 περιλαμβάνει οκτώ κατηγορίες στοχεύοντας κορυφαία smartphone (Samsung Galaxy S25, Apple iPhone 16 και Google Pixel 9), εκτυπωτές, συστήματα αποθήκευσης δικτύου, εξοπλισμό οικιακής δικτύωσης, εφαρμογές ανταλλαγής μηνυμάτων, έξυπνες οικιακές συσκευές, εξοπλισμό επιτήρησης και φορητές τεχνολογία (συμπεριλαμβανομένων των ακουστικών Quest 3/3S της Meta και των έξυπνων γυαλιών Ray-Ban).
Ο φετινός διαγωνισμός επεκτείνει τους φορείς επίθεσης για να συμπεριλάβει την εκμετάλλευση θύρας USB σε φορητές συσκευές, απαιτώντας από τους ερευνητές να χακάρουν κλειδωμένα τηλέφωνα μέσω φυσικής σύνδεσης. Ωστόσο, τα παραδοσιακά ασύρματα πρωτόκολλα όπως το Wi-Fi, το Bluetooth και η επικοινωνία κοντινού πεδίου (NFC) εξακολουθούν να είναι έγκυροι φορείς επίθεσης.
Κατά τη διάρκεια της εκδήλωσης Pwn2Own Ireland 2024, οι χάκερ κέρδισαν 1.078.750 $ για περισσότερες από 70 μηδενικές ημέρες, με τη Viettel Cyber Security να παίρνει 205.000 $ σε μετρητά μετά την εκμετάλλευση των ελαττωμάτων των QNAP, Sonos και Lexmark.
Τον Ιανουάριο του 2026, το ZDI θα επιστρέψει στην έκθεση τεχνολογίας Automotive World στο Τόκιο για τον τρίτο διαγωνισμό Pwn2Own Automotive, και πάλι με χορηγία της Tesla
Το 46% των περιβαλλόντων είχαν σπάσει κωδικούς πρόσβασης, σχεδόν διπλασιασμένος από 25% πέρυσι.
Λάβετε τώρα την Έκθεση Picus Blue 2025 για μια ολοκληρωμένη ματιά σε περισσότερα ευρήματα σχετικά με τις τάσεις πρόληψης, ανίχνευσης και διείσδυσης δεδομένων.
VIA: bleepingcomputer.com
