Le concours de piratage Pwn2Own Toronto 2023 s’est terminé avec des chercheurs en sécurité gagnant 1 038 500 $ pour 58 exploits zero-day (et plusieurs collisions de bogues) ciblant des produits de consommation entre le 24 et le 27 octobre.
Pendant le Pwn2Own Toronto 2023 Lors d’un événement de piratage informatique organisé par Zero Day Initiative (ZDI) de Trend Micro, des chercheurs en sécurité ont ciblé les appareils mobiles et IoT.
La liste complète comprend les téléphones mobiles (c’est-à-dire l’Apple iPhone 14, le Google Pixel 7, le Samsung Galaxy S23 et le Xiaomi 13 Pro), les imprimantes, les routeurs sans fil, les appareils de stockage en réseau (NAS), les hubs domotiques, les systèmes de surveillance, les systèmes intelligents. haut-parleurs et appareils Pixel Watch et Chromecast de Google, tous dans leur configuration par défaut et exécutant les dernières mises à jour de sécurité.
Bien qu’aucune équipe ne se soit inscrite pour pirater les smartphones Apple iPhone 14 et Google Pixel 7, les concurrents ont piraté quatre fois un Samsung Galaxy S23 entièrement corrigé.
L’équipe Pentest Limited a été la première à démo un jour zéro dans le Samsung Galaxy S23, exploitant une faiblesse de validation d’entrée inappropriée pour obtenir l’exécution de code, gagnant 50 000 $ et 5 points Master of Pwn.
L’équipe STAR Labs SG également exploité une liste permissive d’entrées autorisées pour pirater le produit phare de Samsung le premier jour, gagnant 25 000 $ (demi-prix pour le deuxième tour de ciblage du même appareil) et 5 points Master of Pwn.
Les chercheurs en sécurité d’Interrupt Labs et de l’équipe ToChim ont également piraté le Galaxy S22 le deuxième jour de la compétition en exploitant une liste permissive d’entrées autorisées et une autre faiblesse de validation d’entrée inappropriée.
Équipe Viettel a remporté le concours, gagnant 180 000 $ et 30 points Master of Pwn. Ils sont suivis au classement par Team Orca of Sea Security avec 116 250 $ (17,25 points) et DEVCORE Intern et Interrupt Labs (chacun avec 50 000 $ et 10 points).
Les chercheurs en sécurité ont démontré avec succès des exploits ciblant 58 jours zéro sur des appareils de plusieurs fournisseurs, notamment Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze, Lexmark et HP.
Vous pouvez retrouver le planning complet du concours concours ici. Le programme complet de la première journée de Pwn2Own Toronto 2023 et les résultats de chaque défi sont répertoriés. ici.
Une fois que les vulnérabilités Zero Day exploitées lors de l’événement Pwn2Own sont signalées, les fournisseurs disposent de 120 jours pour publier des correctifs avant que ZDI ne les divulgue publiquement.
En mars, lors du concours Pwn2Own Vancouver 2023, les concurrents ont remporté 1 035 000 $ et une voiture Tesla Model 3 pour 27 zero-day (et plusieurs collisions de bugs).