Pwn2Own Irland: Samsung S24 geknackt, mehr als eine Million US-Dollar Prämien

Die Pwn2Own-Irland-Veranstaltung hat den Teilnehmern mehr als eine Million US-Dollar Preisgeld fĂĽr ĂĽber 70 Zero-Day-LĂĽcken eingebracht.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Computer, Smartphones, Ăśberwachungskameras, Drucker werden mit Viren angegriffen, Krimineller steht dahinter

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Von

Die Zero Day Initiative (ZDI) von Trend Micro hat den Hacker-Wettbewerb Pwn2Own dieses Jahr in Irland veranstaltet. In der vergangenen Woche konnten IT-Sicherheitsforscher dort Prämien für die erfolgreiche Ausnutzung von Zero-Day-Sicherheitslücken einstreichen. Dieses Jahr hätten die Preisgelder erstmals die Gesamtsummer von einer Million US-Dollar überstiegen, die die Gewinner für mehr als 70 Zero-Days einstreichen konnten.

Unter anderem standen Geräte der Internet-of-Things-Klasse, Network-Attached-Storage-Systeme (NAS), Mobiltelefone oder Drucker auf der Liste der angegriffenen Geräte. Am ersten Tag gelang es Teilnehmern etwa, NAS von QNAP oder Synology, Netzwerkdrucker von Canon und HP, Sonos-Lautsprecher, die Kameras Ubiquiti AI Bullet und Lorex 2K WiFi zu knacken. Insgesamt wurden bereits für mehr als 50 Zero-Days Prämien in Höhe von 516.000 US-Dollar ausgezahlt.

Am zweiten Tag kamen weitere 358.000 US-Dollar an Preisgeldern hinzu. IT-Forschern gelang die unbefugte Installation einer App nach der Erlangung des Zugriffs auf eine Shell beim Samsung Galaxy S24. Weitere erfolgreiche Angriffe zeigten sie auf SicherheitslĂĽcken in Canon- und HP-Druckern, Sonos-Speakern sowie QNAP- und Synology-NAS.

Am dritten Tag gelang den Teilnehmern etwa das Kompromittieren von QNAP- und Synology-NAS sowie Lexmark-Druckern. AuĂźerdem kam es zur VorfĂĽhrung von Bugs, die andere Gruppen ebenfalls gefunden und schon an den Vortagen gezeigt hatten, sogenannte Kollisionen. Am vierten Tag gab es weitere solche Kollisionen, aber eine weitere Gruppe fĂĽhrte vor, wie sie Zugriff auf ein QNAP-NAS und von dort weiter auf einen Lexmark-Drucker erlangten. Ein weiteres Team zeigte zudem eine direkt missbrauchte LĂĽcke in dem Lexmark-Drucker.

Die Zusammenfassungen der einzelnen Wettkampftage finden sich auf jeweils eigenen Webseiten:

Beim Pwn2Own-Wettbewerb 2023 im kanadischen Toronto stand das Samsung Galaxy S23 stark im Fokus der IT-Sicherheitsforscher. Sie hatten es gleich mehrmals auf unterschiedlichen Wegen geknackt.

(dmk)