Des chercheurs en sécurité ont piraté le smartphone Samsung Galaxy S23 à deux reprises lors de la deuxième journée du concours de piratage Pwn2Own 2023 à Toronto, au Canada.
Les participants ont également démontré des bogues zero-day dans les imprimantes, les routeurs, les haut-parleurs intelligents, les systèmes de surveillance et les appareils NAS de Canon, Synology, Sonos, TP-Link, QNAP, Wyze, Lexmark et HP.
Les chercheurs en sécurité d’Interrupt Labs ont été les premiers à démo un Samsung Galaxy S23 zero-day dans une attaque de validation d’entrée inappropriée, tandis que l’équipe ToChim exploité une liste permissive d’entrées autorisées pour pirater le produit phare de Samsun.
Les deux équipes ont gagné 25 000 $ et 5 points Master of Pwn pour leurs démos lors des tours suivants sur la même cible.
« Alors que seule la première démonstration dans une catégorie remporte la totalité du prix en espèces, chaque participation réussie réclame le nombre total de points Master of Pwn », ont déclaré les organisateurs. expliquer.
« Étant donné que l’ordre des tentatives est déterminé par un tirage au sort, ceux qui reçoivent des machines à sous plus tard peuvent toujours revendiquer le titre de Master of Pwn, même s’ils gagnent un paiement en espèces inférieur. »
Le premier jour de Pwn2Own Toronto, Pentest Limited et l’équipe STAR Labs SG ont présenté deux autres attaques Zero Day exploitant une faiblesse de validation d’entrée inappropriée et une liste permissive d’entrées autorisées.
Dans les quatre cas, l’appareil exécutait la dernière version du système d’exploitation Android avec toutes les mises à jour de sécurité installées, selon le règlement du concours.
Le deuxième jour du Pwn2Own Toronto 2023, l’initiative Zero Day de Trend Micro a attribué plus de 362 500 $ pour plus d’une douzaine de zéro jour et plusieurs collisions de bogues dans diverses catégories. Cela porte les deux premiers jours de Pwn2Own à plus de 800 000 $ de prix en espèces.
Plus d’un million de dollars en argent et en prix
Dans le Pwn2Own Toronto 2023 Lors d’un événement de piratage informatique organisé par Zero Day Initiative (ZDI) de Trend Micro, les participants ont la possibilité de cibler un large éventail d’appareils, notamment des téléphones mobiles tels que l’Apple iPhone 14, le Google Pixel 7, le Samsung Galaxy S23 et le Xiaomi 13 Pro.
Les imprimantes, les routeurs sans fil, les périphériques de stockage en réseau (NAS), les hubs domotiques, les systèmes de surveillance, les haut-parleurs intelligents et les appareils Pixel Watch et Chromecast de Google figurent également sur la liste, tous à jour et dans leurs configurations par défaut.
L’événement offre des récompenses substantielles pour les vulnérabilités Zero Day des téléphones mobiles, avec des prix pouvant atteindre 300 000 $ pour le piratage de l’iPhone 14 et 250 000 $ pour le Pixel 7. Au total, les participants peuvent gagner plus de 1 000 000 $ de prix en espèces tout au long de la compétition.
Notamment, l’exploitation réussie des appareils Google et Apple rapporte également un bonus de 50 000 $ si les charges utiles d’exploitation s’exécutent avec les privilèges au niveau du noyau. Cela porte la récompense potentielle pour un seul défi à un maximum de 350 000 $ pour une chaîne d’exploitation complète avec accès au niveau du noyau ciblant l’iPhone 14 d’Apple (cependant, aucune tentative de piratage de l’iPhone d’Apple n’est prévue).
Des informations détaillées sur le calendrier du concours sont disponibles sur le site du concours. site officiel. Les résultats de chaque défi, y compris ceux de la première journée de Pwn2Own Toronto 2023, sont disponibles sur cette page.
Lors du troisième jour du concours, le Samsung Galaxy S23 sera à nouveau la cible de la Team Orca de Sea Security.
Lors du concours Pwn2Own Vancouver 2023 qui s’est tenu en mars, les participants ont reçu 1 035 000 $ en prix en espèces et une voiture Tesla Model 3 pour 27 vulnérabilités zero-day et plusieurs collisions de bugs.