Pwn2Own Irland: Samsung S24 geknackt, mehr als eine Million US-Dollar Prämien
Die Pwn2Own-Irland-Veranstaltung hat den Teilnehmern mehr als eine Million US-Dollar Preisgeld für über 70 Zero-Day-Lücken eingebracht.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Die Zero Day Initiative (ZDI) von Trend Micro hat den Hacker-Wettbewerb Pwn2Own dieses Jahr in Irland veranstaltet. In der vergangenen Woche konnten IT-Sicherheitsforscher dort Prämien für die erfolgreiche Ausnutzung von Zero-Day-Sicherheitslücken einstreichen. Dieses Jahr hätten die Preisgelder erstmals die Gesamtsummer von einer Million US-Dollar überstiegen, die die Gewinner für mehr als 70 Zero-Days einstreichen konnten.
Unter anderem standen Geräte der Internet-of-Things-Klasse, Network-Attached-Storage-Systeme (NAS), Mobiltelefone oder Drucker auf der Liste der angegriffenen Geräte. Am ersten Tag gelang es Teilnehmern etwa, NAS von QNAP oder Synology, Netzwerkdrucker von Canon und HP, Sonos-Lautsprecher, die Kameras Ubiquiti AI Bullet und Lorex 2K WiFi zu knacken. Insgesamt wurden bereits für mehr als 50 Zero-Days Prämien in Höhe von 516.000 US-Dollar ausgezahlt.
Am zweiten Tag fällt das Galaxy S24
Am zweiten Tag kamen weitere 358.000 US-Dollar an Preisgeldern hinzu. IT-Forschern gelang die unbefugte Installation einer App nach der Erlangung des Zugriffs auf eine Shell beim Samsung Galaxy S24. Weitere erfolgreiche Angriffe zeigten sie auf Sicherheitslücken in Canon- und HP-Druckern, Sonos-Speakern sowie QNAP- und Synology-NAS.
Am dritten Tag gelang den Teilnehmern etwa das Kompromittieren von QNAP- und Synology-NAS sowie Lexmark-Druckern. Außerdem kam es zur Vorführung von Bugs, die andere Gruppen ebenfalls gefunden und schon an den Vortagen gezeigt hatten, sogenannte Kollisionen. Am vierten Tag gab es weitere solche Kollisionen, aber eine weitere Gruppe führte vor, wie sie Zugriff auf ein QNAP-NAS und von dort weiter auf einen Lexmark-Drucker erlangten. Ein weiteres Team zeigte zudem eine direkt missbrauchte Lücke in dem Lexmark-Drucker.
Die Zusammenfassungen der einzelnen Wettkampftage finden sich auf jeweils eigenen Webseiten:
- Pwn2Own Ireland Day One - The Results
- Pwn2Own Ireland Day Two- The Results
- Pwn2Own Ireland Day Three - The Results
- Pwn2Own Ireland Day Four - The Results
Beim Pwn2Own-Wettbewerb 2023 im kanadischen Toronto stand das Samsung Galaxy S23 stark im Fokus der IT-Sicherheitsforscher. Sie hatten es gleich mehrmals auf unterschiedlichen Wegen geknackt.
(dmk)