Pwn2Own Toronto

出場者は、カナダのトロントで開催された消費者向けの Pwn2Own 2022 コンテストの 2 日目に、Samsung Galaxy S22 を再びハッキングしました。

また、HP、NETGEAR、Synology、Sonos、TP-Link、Canon、Lexmark、および Western Digital のルーター、プリンター、スマート スピーカー、および Network Attached Storage (NAS) デバイスのゼロデイ脆弱性を標的とするエクスプロイトのデモも行いました。

脆弱性調査会社 Interrupt Labs を代表するセキュリティ研究者は、水曜日に Samsung の主力デバイスに対するエクスプロイトの成功を実証した人たちでした。

彼らは不適切な入力検証攻撃を実行し、合計賞金の 50% である $25,000 を獲得しました。これは、コンテスト中に Galaxy S22 がハッキングされたのが 3 回目だったためです。

Pwn2Own トロントの初日に、STAR Labs チームと Chim として知られる参加者が、Galaxy S22 に対する不適切な入力検証攻撃の成功の一環として、他の 2 つのゼロデイ エクスプロイトのデモを行いました。

3 つのケースすべてで、 コンテスト ルールに従って、利用可能なすべてのアップデートがインストールされた最新バージョンの Android オペレーティング システムがデバイスで実行されていました。

Pwn2Own トロントの 2 日目は、Trend Micro の Zero Day Initiative によって、複数のカテゴリにわたる 17 の固有のバグに対して 281,500 ドルが授与されました。

これにより、Pwn2Own の最初の 2 日間の合計は、46 の固有のゼロデイに対して 681,250 ドルに達したと、ZDI の脅威認識責任者のダスティン チャイルズは明らかにしました。

大会は4日間に延長

Pwn2Own トロント 2022では、セキュリティ研究者は、携帯電話、ホーム オートメーション ハブ、プリンター、ワイヤレス ルーター、ネットワーク接続ストレージ、スマート スピーカーなど、複数のカテゴリの消費者向けデバイスを対象としており、すべて最新のソフトウェアをデフォルト構成で実行しています。

携帯電話のカテゴリには賞金が最も多く、研究者は Apple iPhone 13 と Google Pixel 6 スマートフォンをハッキングして最大 20 万ドルを獲得しています。

ハッキングされた Google および Apple デバイスには、エクスプロイトがカーネル レベルの権限で実行された場合に 50,000 ドルのボーナスが与えられます。カーネル レベルのアクセス権を持つエクスプロイト チェーン全体では、1 つのチャレンジの最大報酬が最大 250,000 ドルになります。

今年の Pwn2Own トロントの消費者に焦点を当てたハッキング コンテストは、すべてのコンテスト カテゴリで 66 のターゲットを悪用するために 26 の個々の競技者とチームが登録した後、4 日間 (12 月 6 日から 12 月 8 日まで) に延長されました。

Pwn2Own トロント 2022 の 2 日目の完全なスケジュールと各チャレンジの結果は、 こちらから入手できます。大会の完全なスケジュールもここで確認できます。

コンテストの 3 日目に、Samsung Galaxy S22 は Pentest Limited と Qrios Secure チームのハッカーによって再びテストされます。