Pwn2Own黑客大賽閉幕：無(wú)人嘗試入侵蘋(píng)果iPhone 14/谷歌Pixel 7

來(lái)源：互聯(lián)網(wǎng)   發(fā)布日期：2023-10-30 08:51:50   瀏覽：4555次  

IT之家 10 月 29 日消息，為期三天的 Pwn2Own 2023 黑客大賽已在當(dāng)?shù)貢r(shí)間 10 月 27 日落下帷幕，本次大會(huì)在加拿大多倫多舉行，黑客可借助各種漏洞攻擊消費(fèi)類(lèi)電子產(chǎn)品，從而獲得相應(yīng)的賞金和 Master of Pwn 積分。

Pwn2Own 黑客大賽是由惠普旗下 TippingPoint 的項(xiàng)目組 ZDI（Zero Day Initiative）主辦的，谷歌、微軟、蘋(píng)果、Adobe 等科技巨頭都對(duì)此比賽提供支持，是全世界最著名、獎(jiǎng)金最豐厚的黑客大賽。

據(jù)介紹，安全研究人員通過(guò)利用 58 個(gè)零日漏洞（以及多個(gè)漏洞碰撞）來(lái)攻擊消費(fèi)類(lèi)產(chǎn)品，共計(jì)產(chǎn)生了 103.85 萬(wàn)美元（IT之家備注：當(dāng)前約 760.2 萬(wàn)元人民幣）的獎(jiǎng)金。

這些零日漏洞針對(duì)多家廠(chǎng)商設(shè)備，包括小米、西部數(shù)據(jù)、群暉、佳能、利盟、Sonos、TP-Link、威聯(lián)通、Wyze 和惠普。一旦這些零日漏洞被報(bào)告給廠(chǎng)商，廠(chǎng)商需在 ZDI 公開(kāi)披露這些漏洞之前的 120 天時(shí)間里推出更新補(bǔ)叮

在活動(dòng)期間，安全研究人員以移動(dòng)和物聯(lián)網(wǎng)設(shè)備為目標(biāo)，提供了包括手機(jī)（iPhone 14、 Pixel 7、三星 Galaxy S23 和小米 13 Pro）、打印機(jī)、無(wú)線(xiàn)路由器、NAS 設(shè)備、家庭自動(dòng)化中心、監(jiān)控系統(tǒng)、智能音響以及谷歌的 Pixel Watch 和 Chromecast 等在內(nèi)的設(shè)備，且所有設(shè)備都處于默認(rèn)配置并運(yùn)行最新的安全更新。

比賽結(jié)果顯示，沒(méi)有一支團(tuán)隊(duì)報(bào)名入侵蘋(píng)果 iPhone 14 和谷歌 Pixel 7 智能手機(jī)，但參賽者還是四次成功入侵了打滿(mǎn)補(bǔ)丁的三星 Galaxy S23。據(jù)IT之家此前報(bào)道，該活動(dòng)舉辦首日，三星 Galaxy S23 就已被成功入侵 2 次，其中 Pentest Limited 團(tuán)隊(duì)利用不正確的輸入驗(yàn)證漏洞，可以執(zhí)行任意代碼，從而贏(yíng)得了 5 萬(wàn)美元賞金和 5 個(gè) Master of Pwn 積分。

STAR Labs SG 團(tuán)隊(duì)在第二輪比賽中再次通過(guò)輸入的許可列表，入侵 Galaxy S23 手機(jī)，從而贏(yíng)得了 2.5 萬(wàn)美元賞金和 5 個(gè) Master of Pwn 積分。

此外，NCC Group 團(tuán)隊(duì)成功破解小米 13 Pro 手機(jī)，獲得了 2 萬(wàn)美元賞金和 4 個(gè) Master of Pwn 積分。

贊助本站