Trend Micro gibt die Ergebnisse des aktuellen Pwn2Own-Wettbewerbs seiner Zero Day Initiative bekannt. Die Teilnehmer des Hacking-Wettbewerbs, der von 24. bis 27. Oktober im kanadischen Toronto stattfand, entdeckten insgesamt 58 bisher unbekannte Zero-Day-Schwachstellen. Lücken im Bereich mobiler und IoT-Verbraucherprodukte standen im Mittelpunkt der Hacking-Veranstaltung.
Gleich mehrere Teams erzielten beim jährlich in Toronto ausgetragenen Wettbewerb besondere Erfolge beim Smartphone-Hack des Samsung-Flaggschiffs Galaxy S23. So konnte das Hacking-Team Pentest Limited durch eine Improper-Input-Validation-Schwachstelle Befehle auf dem Gerät ausführen und wurde mit knapp 47.000 Euro dafür belohnt.
Aber auch das Team Star Labs SG führte eine erfolgreiche Attacke durch und konnte ein Video auf dem Gerät abspielen. Insgesamt waren die Teilnehmer in der Lage, das Samsung Galaxy S23 an den vier Veranstaltungstagen ganze sechs Mal zu hacken.
Weitere Höhepunkte des Wettbewerbs
- Team Viettel führte einen Single-Bug-Angriff gegen das Xiaomi 13 Pro durch.
- Team Binary Factory führte einen Stack-basierten Buffer-Overflow-Angriff gegen Synology BC500 aus.
- Team Pentest Limited griff mit einer 2-Bug-Chain die WD My Cloud Pro Series PR4100 an.
- Nguyen Quoc Viet führte einen Stack-basierten Buffer-Overflow-Angriff gegen den HP Color Laserjet Pro MFP aus.
- Team Synacktiv führte einen Heap-basierten Buffer-Overflow gegen die Wyze Cam v3 durch.
Die fünf besten Teilnehmer wurden mit diesen Preisgeldern belohnt:
- Team Viettel (30 Punkte) – 180.000 US-Dollar
- Team Orca (Sea Security) (17,25 Punkte) – ca. 116.000 USD
- DEVCORE Intern und Interrupt Labs (beide 10 Punkte) – je 50.000 USD.
- Chris Anastasio (9 Punkte) – 100.000 USD
- Pentest Ltd. (9 Punkte) – 90.000 USD
„Trend Micros Zero Day Initiative deckt Cyberrisiken auf, noch bevor eine Ausnutzung überhaupt in Betracht gezogen werden kann“, sagt Kevin Simzer, COO bei Trend Micro. „Wir sind sehr stolz darauf, dass wir gemeinsam mit unseren Sponsoren Google und Synology durch unsere Veranstaltung die Sicherheitsstandards für die gesamte Branche anheben. Wir sind uns alle einig, dass dieser proaktive Ansatz entscheidend ist, um den Cyberkriminellen weiterhin einen Schritt voraus zu sein.“
Pwn2Own fand zum sechzehnten Mal vom 24. bis 27. Oktober 2023 in Toronto, Kanada statt. Der nächste Pwn2Own-Wettbewerb, speziell für die Automobilbranche, findet im Januar 2024 in Tokio statt und der nächste reguläre Pwn2Own wird im März 2024 in Vancouver ausgetragen.