三星 Galaxy S23 在多伦多 Pwn2Own 首日遭到两次黑客攻击

在加拿大多伦多举行的以消费者为中心的 Pwn2Own 2023 黑客大赛的第一天，安全研究人员对三星 Galaxy S23 进行了两次黑客攻击。

他们还演示了针对小米 13 Pro 智能手机以及来自 Western Digital、QNAP、Synology、Canon、Lexmark 和 Sonos 的打印机、智能扬声器、网络附加存储 (NAS) 设备和监控摄像头的零日漏洞利用和漏洞链。

Pentest Limited 是第一个 在三星旗舰 Galaxy S23 设备上演示 零日漏洞的公司，通过利用不正确的输入验证漏洞来获得代码执行，赢得了 50,000 美元和 5 个 Pwn 大师积分。

STAR Labs SG 团队还利用允许输入的许可列表破解了三星 Galaxy S23，赢得了 25,000 美元（针对同一设备的第二轮半奖）和 5 个 Pwn 大师积分。

“虽然只有某个类别中的首次演示才能赢得全额现金奖励，但每次成功参赛都可以获得全部的 Pwn 大师积分，”组织者 解释道。

“由于尝试的顺序是由随机抽签决定的，那些获得较晚位置的人仍然可以获得 Pwn 大师的头衔——即使他们获得的现金支付较低。”

根据 Pwn2Own Toronto 2023竞赛规则，所有目标设备都运行最新的操作系统版本，并安装所有安全更新。

ZDI 在比赛第一天奖励 438,755 美元，奖励 23 个成功演示的零日漏洞。

超过100万美元的现金和奖品

 在趋势科技零日计划 (ZDI) 组织的Pwn2Own Toronto 2023黑客活动期间 ，竞争对手可以针对移动和物联网设备。

完整列表包括手机（即 Apple iPhone 14、Google Pixel 7、Samsung Galaxy S23 和小米 13 Pro）、打印机、无线路由器、网络附加存储 (NAS) 设备、家庭自动化集线器、监控系统、智能手机扬声器、Google 的 Pixel Watch 和 Chromecast 设备，均采用默认配置并运行最新的安全更新。

最高奖励是手机类的零日漏洞，破解 iPhone 14 的现金奖励高达 30 万美元，破解 Pixel 7 的现金奖励高达 25 万美元，参赛者可获得超过 100 万美元的现金奖励。

如果漏洞有效负载以内核级权限执行，成功利用 Google 和 Apple 设备还可获得 50,000 美元的奖金，对于针对 Apple iPhone 14 的具有内核级访问权限的完整漏洞利用链，单次挑战的最高可能奖励总计 350,000 美元。

您可以在这里找到完整的比赛日程 。此处列出了 Pwn2Own 多伦多 2023 年第一天的完整赛程表以及每项挑战的结果 。

比赛第二天，三星 Galaxy S23 将再次接受漏洞研究公司 Interrupt Labs 的安全研究员 Le Xich Long 和黑客的测试。

今年 3 月，在 Pwn2Own 温哥华 2023 竞赛期间，研究人员因 3 月 22 日至 24 日期间利用 27 个零日漏洞（以及几起 bug 碰撞）而获得了 1,035,000 美元和一辆特斯拉 Model 3 汽车。

原文来自: bleepingcomputer.com