Am ersten Tag des Pwn2Own-Events in diesem Jahr Den Teilnehmern gelang es zweimal, das Samsung Galaxy S22-Gerät zu hacken, und sie erhielten eine Gesamtbelohnung von 75.000 US-Dollar und einige Matter of Pwn-Punkte.
Sie haben einen Exploit gefunden, um den Zugriff auf das Gerät zu validieren – obwohl darauf das neueste Android-Betriebssystem mit allen installierten Updates läuft. Nun, dieses Gerät wird am zweiten Tag der Veranstaltung erneut zum Hacken freigegeben, um weitere Exploits zu finden.
Validierungs-Exploits im Galaxy S22
Für Unbekannte: Pwn2Own ist ein jährliches, verbraucherorientiertes Event, bei dem jeder die Geräte beliebter OEMs hacken kann, um Belohnungen zu erhalten. Das viertägige Event in diesem Jahr begann damit, dass zwei Teilnehmer das Samsung Galaxy S22-Gerät hackten, um sowohl Geld als auch Pwn-Punkte zu gewinnen.
Der erste unter ihnen – der Das Team von STAR Labs hat einen Zero-Day-Exploit im Galaxy S22 ausgenutzt, um seinen Angriff zur unzulässigen Eingabevalidierung auszuführen und dabei 50.000 $ und 5 Master of Pwn-Punkte verdient.
STAR Labs konnte seinen Angriff auf die Validierung unsachgemäßer Eingaben beim dritten Versuch gegen das Samsung Galaxy S22 ausführen. Sie verdienen 50.000 $ und 5 Master of Pwn-Punkte. P2OToronto Pwn2Own
Das Team hat ein tolles Video des Exploit-Versuchs erhalten: https://t.co/69It9QBOy2 pic.twitter.com/20WyVDuV5b
— Zero Day Initiative (@thezdi) 6. Dezember 2022
Der nächste ist Schimder außerdem einen erfolgreichen Exploit vorführte, der auf die Validierung des Galaxy S22 abzielte, und dafür 25.000 US-Dollar (50 % des Preises für die zweite Runde, in der dasselbe Gerät ins Visier genommen wurde) und 5 Master of Pwn-Punkte einbrachte.
Süße Rechenaktion! Pwn2Own P2OToronto pic.twitter.com/3Fbi3SZE7h
— Zero Day Initiative (@thezdi) 6. Dezember 2022
Dies wurde auf einem Gerät durchgeführt, auf dem das neueste Android-Betriebssystem mit allen installierten Updates lief. Nun, dasselbe Galaxy S22 wird am zweiten Tag der Veranstaltung vor dem Schwachstellenforschungsunternehmen Interrupt Labs erneut zum Hacken freigegeben.
Darüber hinaus Andere Teilnehmer haben die Zero-Day-Bugs in Druckern und Routern verschiedener OEMs wie Canon, Mikrotik, NETGEAR, TP-Link, Lexmark, Synology und HP ausgenutzt. Während der gesamten Veranstaltung werden wir mehr Leute und Teams sehen, die auf verschiedene Bugs stoßen, um zu zeigen, wie unsicher sie sind, und um Belohnungen zu verdienen.
Die höchsten Preise gibt es in der Kategorie Mobiltelefone, wo die Geldpreise bis zu 200.000 US-Dollar betragen, wenn Geräte wie Pixel 6 und iPhone 13-Smartphones erfolgreich sind. Neben den regulären Preisen erhalten erfolgreiche Teilnehmer auch einen Bonus von 50.000 US-Dollar, wenn ihre Exploits Privilegien auf Kernel-Ebene betreffen.
