Неудачный старт: Samsung Galaxy S23 дважды взломали в первый день конкурса Pwn2Own

На первый день конкурса Pwn2Own 2023 в Торонто, Канада, исследователи безопасности дважды взломали смартфон Samsung Galaxy S23. Они также продемонстрировали эксплойты и цепочки уязвимостей в смартфоне Xiaomi 13 Pro, а также в принтерах, умных колонках, устройствах сетевого хранилища (NAS) и камерах видеонаблюдения от Western Digital, QNAP, Synology, Canon, Lexmark и Sonos.

Компания Pentest Limited первой продемонстрировала уязвимость нулевого дня (Zero-day) на флагманском устройстве Samsung Galaxy S23, использовав ошибку неправильной проверки ввода для выполнения кода, за что получила $50 000 и 5 баллов Master of Pwn.

Твит о взломе Samsung командой Pentest Limited

Команда STAR Labs SG также эксплуатировала список разрешенных входов для взлома Samsung Galaxy S23, заработав $25 000 (половину приза за второй раунд атаки на то же устройство) и 5 баллов Master of Pwn.

Твит о взломе Samsung командой STAR Labs SG

Организаторы объяснили, что, хотя только первая демонстрация в категории выигрывает полную денежную награду, каждая успешная работа требует полного количества очков Master of Pwn. Поскольку порядок попыток определяется случайным образом, участники, получившие более поздние слоты, все равно могут претендовать на титул Master of Pwn, даже если они зарабатывают меньший денежный выигрыш.

Согласно правилам конкурса Pwn2Own Toronto 2023, на всех целевых устройствах работают последние версии операционной системы со всеми установленными обновлениями безопасности. В первый день конкурса выплачены призы на сумму $438 750 за 23 успешно продемонстрированные уязвимости нулевого дня.

Во время мероприятия Pwn2Own Toronto 2023, организованного Zero Day Initiative (ZDI) от Trend Micro, участники могли нацелиться на мобильные и IoT-устройства. Полный список включает смартфоны (например, Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 и Xiaomi 13 Pro), принтеры, беспроводные маршрутизаторы, устройства сетевого хранилища (NAS), системы домашней автоматизации, системы видеонаблюдения, умные колонки, а также устройства Google Pixel Watch и Chromecast. Все устройства имеют стандартную конфигурацию и последние обновления безопасности.

Самые высокие награды предусмотрены за ошибки нулевого дня в категории мобильных телефонов: денежные призы до $300 000 за взлом iPhone 14 и до $250 000 за взлом Pixel 7, а общий фонд составляет более $1 000 000. Полное расписание Pwn2Own Toronto 2023 и результаты каждого испытания приведены на этой странице.

В марте во время конкурса Pwn2Own в Ванкувере, Канада исследователи безопасности успешно продемонстрировали эксплойты нулевого дня для Tesla Model 3, Windows 11 и macOS в борьбе за главный приз - $375 000 и автомобиль Tesla Model 3.