Samsung с последней версией ОС и со всеми обновлениями не выдержал пробу пера.
На первый день конкурса Pwn2Own 2023 в Торонто, Канада, исследователи безопасности дважды взломали смартфонSamsungGalaxy S23. Они также продемонстрировали эксплойты и цепочки уязвимостей в смартфоне Xiaomi 13 Pro, а также в принтерах, умных колонках, устройствах сетевого хранилища (NAS) и камерах видеонаблюдения от Western Digital,QNAP, Synology, Canon, Lexmark и Sonos.
Компания Pentest Limited первойпродемонстрировалауязвимость нулевого дня (Zero-day) на флагманском устройстве Samsung Galaxy S23, использовав ошибку неправильной проверки ввода для выполнения кода, за что получила $50 000 и 5 баллов Master of Pwn.
ТвитовзломеSamsung командойPentest Limited
Команда STAR Labs SG такжеэксплуатироваласписок разрешенных входов для взлома Samsung Galaxy S23, заработав $25 000 (половину приза за второй раунд атаки на то же устройство) и 5 баллов Master of Pwn.
Твит о взломеSamsung командой STAR Labs SG
Организаторы объяснили, что, хотя только первая демонстрация в категории выигрывает полную денежную награду, каждая успешная работа требует полного количества очков Master of Pwn. Поскольку порядок попыток определяется случайным образом, участники, получившие более поздние слоты, все равно могут претендовать на титул Master of Pwn, даже если они зарабатывают меньший денежный выигрыш.
Согласноправилам конкурсаPwn2Own Toronto 2023, на всех целевых устройствах работают последние версии операционной системы со всеми установленными обновлениями безопасности. В первый день конкурса выплачены призы на сумму $438 750 за 23 успешно продемонстрированные уязвимости нулевого дня.
Во время мероприятия Pwn2Own Toronto 2023, организованного Zero Day Initiative (ZDI) от Trend Micro, участники могли нацелиться на мобильные и IoT-устройства. Полный список включает смартфоны (например,AppleiPhone 14, Google Pixel 7, Samsung Galaxy S23 и Xiaomi 13 Pro), принтеры, беспроводные маршрутизаторы, устройства сетевого хранилища (NAS), системы домашней автоматизации, системы видеонаблюдения, умные колонки, а также устройства Google Pixel Watch и Chromecast. Все устройства имеют стандартную конфигурацию и последние обновления безопасности.
Самые высокие награды предусмотрены за ошибки нулевого дня в категории мобильных телефонов: денежные призы до $300 000 за взлом iPhone 14 и до $250 000 за взлом Pixel 7, а общий фонд составляет более $1 000 000. Полное расписание Pwn2Own Toronto 2023 и результаты каждого испытания приведены наэтойстранице.
В мартево время конкурса Pwn2Own в Ванкувере, Канадаисследователи безопасности успешно продемонстрировали эксплойты нулевого дня для Tesla Model 3, Windows 11 и macOS в борьбе за главный приз - $375 000 и автомобиль Tesla Model 3.