Des chercheurs en sécurité ont piraté le Samsung Galaxy S23 à deux reprises au cours de la première journée du concours de piratage Pwn2Own 2023 destiné aux consommateurs à Toronto, au Canada.
Ils ont également démontré des exploits et des chaînes de vulnérabilité ciblant les jours zéro dans le smartphone 13 Pro de Xiaomi, ainsi que dans les imprimantes, les haut-parleurs intelligents, les périphériques de stockage en réseau (NAS) et les caméras de surveillance de Western Digital, QNAP, Synology, Canon, Lexmark et Sonos. .
Pentest Limited a été le premier à démo un jour zéro sur l’appareil phare de Samsung, le Galaxy S23, en exploitant une faiblesse de validation d’entrée inappropriée pour obtenir l’exécution de code, gagnant 50 000 $ et 5 points Master of Pwn.
L’équipe STAR Labs SG également exploité une liste permissive d’entrées autorisées pour pirater un Samsung Galaxy S23, gagnant 25 000 $ (demi-prix pour le deuxième tour de ciblage du même appareil) et 5 points Master of Pwn.
« Alors que seule la première démonstration dans une catégorie remporte la totalité du prix en espèces, chaque participation réussie réclame le nombre total de points Master of Pwn », ont déclaré les organisateurs. expliquer.
« Étant donné que l’ordre des tentatives est déterminé par un tirage au sort, ceux qui reçoivent des machines à sous plus tard peuvent toujours revendiquer le titre de Master of Pwn, même s’ils gagnent un paiement en espèces inférieur. »
Selon le Pwn2Own Toronto 2023 règlement du concourstous les appareils ciblés exécutent les dernières versions du système d’exploitation avec toutes les mises à jour de sécurité installées.
ZDI a attribué 438 750 $ au cours du premier jour du concours pour 23 vulnérabilités Zero Day démontrées avec succès.
Plus d’un million de dollars en argent et en prix
Pendant le Pwn2Own Toronto 2023 Lors d’un événement de piratage informatique organisé par Zero Day Initiative (ZDI) de Trend Micro, les concurrents peuvent cibler les appareils mobiles et IoT.
La liste complète comprend les téléphones mobiles (c’est-à-dire l’Apple iPhone 14, le Google Pixel 7, le Samsung Galaxy S23 et le Xiaomi 13 Pro), les imprimantes, les routeurs sans fil, les appareils de stockage en réseau (NAS), les hubs domotiques, les systèmes de surveillance, les systèmes intelligents. haut-parleurs et appareils Pixel Watch et Chromecast de Google, tous dans leur configuration par défaut et exécutant les dernières mises à jour de sécurité.
Les récompenses les plus élevées concernent les bugs zero-day dans la catégorie des téléphones mobiles, avec des prix en espèces allant jusqu’à 300 000 $ pour le piratage de l’iPhone 14 et 250 000 $ pour le Pixel 7, avec plus de 1 000 000 $ en espèces disponibles pour les participants.
L’exploitation réussie des appareils Google et Apple offre également des bonus de 50 000 $ si les charges utiles d’exploit s’exécutent avec des privilèges au niveau du noyau, ce qui porte la récompense maximale possible pour un seul défi à un total de 350 000 $ pour une chaîne d’exploitation complète avec accès au niveau du noyau ciblant l’iPhone 14 d’Apple. .
Vous pouvez retrouver le planning complet du concours concours ici. Le programme complet de la première journée de Pwn2Own Toronto 2023 et les résultats de chaque défi sont répertoriés. ici.
Le deuxième jour du concours, le Samsung Galaxy S23 sera à nouveau testé par le chercheur en sécurité Le Xich Long et les pirates de la société de recherche sur les vulnérabilités Interrupt Labs.
En mars, lors du concours Pwn2Own Vancouver 2023, les chercheurs ont reçu 1 035 000 $ et une voiture Tesla Model 3 pour avoir exploité 27 zero-day (et plusieurs collisions de bugs) entre le 22 et le 24 mars.