出場者は、消費者に焦点を当てたイベントの第 10 版である Pwn2Own トロント 2022 ハッキング コンテストの初日に、Samsung Galaxy S22 スマートフォンを 2 回ハッキングしました。
STAR Labs チームは、3 回目の試行で不適切な入力検証攻撃を実行することにより、Samsung の主力デバイスでゼロデイ攻撃に成功した最初のチームであり、50,000 ドルと 5 Master of Pwn ポイントを獲得しました。
別の参加者である Chim も、Samsung Galaxy S22 を標的としたエクスプロイトのデモを行い、不適切な入力検証攻撃を実行して、25,000 ドル (同じデバイスを標的とした第 2 ラウンドの賞金の 50%) と 5 Master of Pwn ポイントを獲得しました。
「各ターゲットの最初の勝者は、全額の賞金とテスト対象のデバイスを受け取ります」と、コンテストの主催者は説明しています。
「各ターゲットの 2 回目以降のラウンドでは、他のすべての勝者は賞金パッケージの 50% を受け取りますが、それでもマスター オブ Pwn ポイントを完全に獲得できます。」
コンテストのルールによると、どちらの場合も、Galaxy S22 デバイスは Android オペレーティング システムの最新バージョンを実行し、利用可能なすべてのアップデートがインストールされていました。
コンテストの初日、参加者は、Canon、Mikrotik、NETGEAR、TP-Link、Lexmark、Synology、HP など、複数のベンダーのプリンターとルーターのゼロデイ バグを標的とするエクスプロイトのデモも成功させました。
コンテストは4日間に延長
Pwn2Own トロントでは、セキュリティ研究者は、携帯電話、ホーム オートメーション ハブ、プリンター、ワイヤレス ルーター、ネットワーク接続型ストレージ、スマート スピーカー、およびその他のデバイスをターゲットにすることができます。これらはすべて最新の状態で、既定の構成になっています。
Google Pixel 6 および Apple iPhone 13 スマートフォンをハッキングすることで、最高 $200,000 の賞金を獲得できる、携帯電話部門で最高の賞金を獲得できます。
エクスプロイトがカーネル レベルの権限で実行された場合、Google と Apple のデバイスをハッキングすると 50,000 ドルのボーナスが得られ、カーネル レベルのアクセス権を持つ完全なエクスプロイト チェーンの場合、1 つのチャレンジの最大賞金は合計で 250,000 ドルになります。
Pwn2Own トロントの消費者に焦点を当てたイベントは、26 チームと出場者がすべてのカテゴリで 66 のターゲットを悪用するために登録した後、4 日間 (12 月 6 日から 12 月 8 日まで) に延長されました。
コンテスト コンテストの完全なスケジュールは、 こちらで確認できます。 Pwn2Own トロント 2022 の初日の完全なスケジュールと各チャレンジの結果は、 こちらに記載されています。
コンテストの 2 日目に、Samsung Galaxy S22 は脆弱性調査会社 Interrupt Labs のハッカーによって再びテストされます。
Comments