Pwn2Own Toronto駭客大賽首日，參賽者兩度攻破三星Galaxy S23

Pwn2Own是由ZDI主辦的、世界最知名、獎金最豐厚的駭客大賽之一。每一屆比賽都會將時下應用廣泛的裝置作為攻擊目標，參賽者若能成功攻破這些裝置，將會獲得高額的現金獎勵，同時也是對自身安全研究能力達到世界頂尖水平的證明。比賽中涉及的產品漏洞會在賽後反饋給相關廠商，協助相關廠商進行修復。

大賽的首日，安全研究人員成功黑入三星Galaxy S23手機兩次。除此之外，參賽者們還演示了對小米13 Pro智慧手機、西部資料、QNAP、Synology、佳能、Lexmark和Sonos等知名品牌產品的零日漏洞和漏洞鏈攻擊。

以三星Galaxy S23手機為挑戰目標的參賽者中，Pentest Limited團隊最先透過利用輸入驗證不當漏洞成功入侵了三星旗艦Galaxy S23手機，獲得5萬美元的獎金和5個Pwn大師積分。在其之後的STAR Labs SG團隊則獲得了2.5萬美元的獎金和5個Pwn大師積分。據舉辦方解釋，同一類別的首次演示才能贏得全額獎金，第二名獎金減半，Pwn大師積分則不受影響。

本次大賽所有的攻擊目標包括手機（如蘋果iPhone 14、谷歌Pixel 7、三星Galaxy S23和小米13 Pro）、印表機、無線路由器、網路附加儲存（NAS）裝置、家庭自動化中心、監控系統、智慧音響以及谷歌的Pixel手錶和Chromecast裝置。根據Pwn2Own Toronto 2023大賽規則，所有目標裝置執行的都是最新的作業系統版本，並安裝了所有可用的安全更新。

在大賽的第一天， ZDI共計獎勵43.875萬美元，以表彰成功演示的23個零日漏洞。而在今年3月的Pwn2Own大賽期間，參賽者們總共成功利用了27個零日漏洞，獲得了103.5萬美元的獎金和特斯拉Model 3汽車。

編輯：左右裡

資訊來源：Zero Day Initiative、bleepingcomputer

轉載請註明出處和本文連結