Sommario
Il concorso di hacking Pwn2Own Toronto 2023 si è concluso con i ricercatori di sicurezza che hanno guadagnato $1.038.500 per 58 exploit zero-day (e molteplici collisioni di bug) mirati a prodotti di consumo tra il 24 e il 27 ottobre. Durante l’evento di hacking Pwn2Own Toronto 2023, organizzato dall’Iniziativa Zero Day (ZDI) di Trend Micro, i ricercatori di sicurezza hanno preso di mira dispositivi mobili e IoT.
Dispositivi presi di mira
L’elenco completo include telefoni cellulari (cioè Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 e Xiaomi 13 Pro), stampanti, router wireless, dispositivi di archiviazione collegati alla rete (NAS), hub di automazione domestica, sistemi di sorveglianza, altoparlanti intelligenti e dispositivi Pixel Watch e Chromecast di Google, tutti nella loro configurazione predefinita e con gli ultimi aggiornamenti di sicurezza.
Attacchi al Samsung Galaxy S23
Nonostante nessuna squadra si sia iscritta per hackerare gli smartphone Apple iPhone 14 e Google Pixel 7, i concorrenti hanno hackerato un Samsung Galaxy S23 completamente aggiornato quattro volte. Il team Pentest Limited è stato il primo a dimostrare un zero-day nel Samsung Galaxy S23, sfruttando una debolezza di convalida dell’input improprio per ottenere l’esecuzione del codice, guadagnando $50.000 e 5 punti Master of Pwn. Anche il team STAR Labs SG ha sfruttato un elenco permissivo di input consentiti per hackerare il dispositivo di punta di Samsung il primo giorno, guadagnando $25.000 e 5 punti Master of Pwn.
Vincitori e risultati
Il Team Viettel ha vinto la competizione, guadagnando $180.000 e 30 punti Master of Pwn. Sono seguiti nella classifica dal Team Orca di Sea Security con $116.250 e DEVCORE Intern e Interrupt Labs (entrambi con $50.000 e 10 punti). I ricercatori di sicurezza hanno dimostrato con successo exploit mirati a 58 zero-day in dispositivi di vari fornitori, tra cui Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze, Lexmark e HP.
Rilascio delle patch
Una volta segnalate le vulnerabilità zero-day sfruttate durante l’evento Pwn2Own, i fornitori hanno 120 giorni per rilasciare le patch prima che ZDI le divulghi pubblicamente.
