Peretas menghasilkan lebih dari $1 juta selama 58 zero-day di Pwn2Own Toronto

 

Kompetisi peretasan Pwn2Own Toronto 2023 telah berakhir dengan peneliti keamanan mendapatkan $1,038,500 untuk 58 eksploitasi zero-day (dan beberapa tabrakan bug) yang menargetkan produk konsumen antara 24 Oktober dan 27 Oktober.

 Selama acara peretasan Pwn2Own Toronto 2023 yang diselenggarakan oleh Zero Day Initiative (ZDI) Trend Micro, peneliti keamanan menargetkan perangkat seluler dan IoT.

 Daftar lengkapnya mencakup ponsel (yaitu Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23, dan Xiaomi 13 Pro), printer, router nirkabel, perangkat penyimpanan terpasang jaringan (NAS), hub otomatisasi rumah, sistem pengawasan, smart speaker, serta perangkat Pixel Watch dan Chromecast Google, semuanya dalam konfigurasi default dan menjalankan update keamanan terkini.

Meskipun tidak ada tim yang mendaftar untuk meretas ponsel pintar Apple iPhone 14 dan Google Pixel 7, para kontestan meretas Samsung Galaxy S23 yang telah dipatch sepenuhnya sebanyak empat kali.

Tim Pentest Limited adalah tim pertama yang mendemonstrasikan zero-day di Samsung Galaxy S23, mengeksploitasi kelemahan validasi input yang tidak tepat untuk mendapatkan eksekusi kode, menghasilkan $50.000 dan 5 poin Master of Pwn.

 Tim STAR Labs SG juga memanfaatkan daftar masukan yang diizinkan untuk meretas ponsel andalan Samsung pada hari pertama, menghasilkan $25.000 (setengah hadiah untuk putaran kedua yang menargetkan perangkat yang sama) dan 5 poin Master of Pwn.

 Peneliti keamanan dengan Interrupt Labs dan tim ToChim juga meretas Galaxy S22 pada hari kedua kompetisi dengan mengeksploitasi daftar masukan yang diizinkan dan kelemahan validasi masukan lainnya yang tidak tepat.

​Tim Viettel memenangkan kompetisi, memperoleh $180.000 dan 30 poin Master of Pwn. Mereka diikuti di papan peringkat oleh Tim Orca dari Sea Security dengan $116,250 (17,25 poin) dan DEVCORE Intern and Interrupt Labs (masing-masing dengan $50,000 dan 10 poin).

 Para peneliti keamanan telah berhasil mendemonstrasikan eksploitasi yang menargetkan 58 zero-day pada perangkat dari berbagai vendor, termasuk Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze, Lexmark, dan HP.

 Jadwal lengkap kontes kompetisi dapat Anda lihat di sini. Jadwal lengkap hari pertama Pwn2Own Toronto 2023 dan hasil setiap tantangannya tercantum di sini.

 Setelah kerentanan zero-day yang dieksploitasi selama peristiwa Pwn2Own dilaporkan, vendor memiliki waktu 120 hari untuk merilis patch sebelum ZDI mengungkapkannya secara publik.

Pada bulan Maret, selama kompetisi Pwn2Own Vancouver 2023, para pesaing memenangkan $1.035.000 dan sebuah mobil Tesla Model 3 selama 27 zero-day (dan beberapa tabrakan bug).