IT之家 10 月 29 日消息,為期三天的 Pwn2Own 2023 黑客大賽已在當(dāng)?shù)貢r(shí)間 10 月 27 日落下帷幕,本次大會(huì)在加拿大多倫多舉行,黑客可借助各種漏洞攻擊消費(fèi)類(lèi)電子產(chǎn)品,從而獲得相應(yīng)的賞金和 Master of Pwn 積分。
Pwn2Own 黑客大賽是由惠普旗下 TippingPoint 的項(xiàng)目組 ZDI(Zero Day Initiative)主辦的,谷歌、微軟、蘋(píng)果、Adobe 等科技巨頭都對(duì)此比賽提供支持,是全世界最著名、獎(jiǎng)金最豐厚的黑客大賽。
據(jù)介紹,安全研究人員通過(guò)利用 58 個(gè)零日漏洞(以及多個(gè)漏洞碰撞)來(lái)攻擊消費(fèi)類(lèi)產(chǎn)品,共計(jì)產(chǎn)生了 103.85 萬(wàn)美元(IT之家備注:當(dāng)前約 760.2 萬(wàn)元人民幣)的獎(jiǎng)金。
這些零日漏洞針對(duì)多家廠商設(shè)備,包括小米、西部數(shù)據(jù)、群暉、佳能、利盟、Sonos、TP-Link、威聯(lián)通、Wyze 和惠普。一旦這些零日漏洞被報(bào)告給廠商,廠商需在 ZDI 公開(kāi)披露這些漏洞之前的 120 天時(shí)間里推出更新補(bǔ)叮
在活動(dòng)期間,安全研究人員以移動(dòng)和物聯(lián)網(wǎng)設(shè)備為目標(biāo),提供了包括手機(jī)(iPhone 14、 Pixel 7、三星 Galaxy S23 和小米 13 Pro)、打印機(jī)、無(wú)線路由器、NAS 設(shè)備、家庭自動(dòng)化中心、監(jiān)控系統(tǒng)、智能音響以及谷歌的 Pixel Watch 和 Chromecast 等在內(nèi)的設(shè)備,且所有設(shè)備都處于默認(rèn)配置并運(yùn)行最新的安全更新。
比賽結(jié)果顯示,沒(méi)有一支團(tuán)隊(duì)報(bào)名入侵蘋(píng)果 iPhone 14 和谷歌 Pixel 7 智能手機(jī),但參賽者還是四次成功入侵了打滿補(bǔ)丁的三星 Galaxy S23。據(jù)IT之家此前報(bào)道,該活動(dòng)舉辦首日,三星 Galaxy S23 就已被成功入侵 2 次,其中 Pentest Limited 團(tuán)隊(duì)利用不正確的輸入驗(yàn)證漏洞,可以執(zhí)行任意代碼,從而贏得了 5 萬(wàn)美元賞金和 5 個(gè) Master of Pwn 積分。
STAR Labs SG 團(tuán)隊(duì)在第二輪比賽中再次通過(guò)輸入的許可列表,入侵 Galaxy S23 手機(jī),從而贏得了 2.5 萬(wàn)美元賞金和 5 個(gè) Master of Pwn 積分。
此外,NCC Group 團(tuán)隊(duì)成功破解小米 13 Pro 手機(jī),獲得了 2 萬(wàn)美元賞金和 4 個(gè) Master of Pwn 積分。