Pwn2Own

Pwn2Own トロント 2022 は、競合他社が 12 月 6 日から 12 月 9 日までの間に消費者向け製品を標的とした 63 件のゼロデイ エクスプロイト (および複数のバグ衝突) で 989,750 ドルを獲得して終了しました。

このハッキング コンテストでは、26 のチームとセキュリティ研究者が、携帯電話、ホーム オートメーション ハブ、プリンター、ワイヤレス ルーター、ネットワーク接続型ストレージ、スマート スピーカーのカテゴリのデバイスを標的にしました。これらはすべて最新であり、既定の構成になっています。

Apple iPhone 13 と Google Pixel 6 スマートフォンのハッキングに参加したチームはありませんでしたが、参加者は完全にパッチが適用された Samsung Galaxy S22 を 4 回ハッキングしました。

STAR Labs チームは、3 回目の試行で不適切な入力検証攻撃を実行することにより、Samsung の主力デバイスでゼロデイを悪用した最初のチームであり、50,000 ドルと 5 Master of Pwn ポイントを獲得しました。

Chim として知られる別の参加者は、コンテストの初日に、Samsung Galaxy S22 を標的とした別の成功したエクスプロイトのデモを行いました

Interrupt Labs と Pentest Limited のセキュリティ研究者も、コンテストの2 日目と 3 日目にGalaxy S22 をハッキングし、Pentest Limited はわずか 55 秒でゼロデイ エクスプロイトを実証しました

Pwn2Own トロント 2022 は、コンペティションの 4 日目の本日終了し、出場者は複数のカテゴリにわたる 63 のゼロデイ エクスプロイトに対して 989,750 ドルを獲得しました。

コンテストを通じて、ハッカーは、Canon、HP、Mikrotik、NETGEAR、Sonos、TP-Link、Lexmark、Synology、Ubiquiti、Western Digital、Mikrotik、HP など、複数のベンダーのデバイスのゼロデイ バグを標的とするエクスプロイトのデモに成功しました。

大会の完全なスケジュールはこちらで、Pwn2Own トロント 2022 の各日のプログラムと結果はこちらで確認できます。

Pwn2Own イベントで悪用されたゼロデイ脆弱性が報告された後、ベンダーは、ZDI が公開する前にパッチをリリースするために 120 日間与えられます。

DEVCORE チームはコンテストで優勝し、$142,500 と 18.5 Master of Pwn ポイントを獲得しました。リーダーボードでは、Team Viettel が $82,500 で 16.5 ポイント、NCC Group EDG が $78.750 で 15.5 ポイントが続きます。

Pwn2Own トロント 2022 最終リーダーボード
Pwn2Own トロント 2022 最終リーダーボード (ZDI)