据Security Affairs 消息,一年一度的世界级黑客大赛 Pwn2Own 2022于当地时间12月6日在多伦多正式开赛。比赛的第一天,三星最新款旗舰手机Galaxy S22就两度被攻破。
三星 Galaxy S22运行了最新版本的 Android 操作系统,并安装了所有可用的安全更新,但还是招架不住参赛白帽黑客们的猛烈攻势。STAR 实验室团队率先利用该设备存在的零日漏洞成功执行了不正确的输入验证攻击,并因此获得了5万美元奖金和 5 个 Master of Pwn 积分。
随后,另一位参赛者 Chim 也通过执行不正确的输入验证攻击攻破了三星 Galaxy S22,并获得了2.5万美元奖金和 5 个 Master of Pwn 积分。
无独有偶,在去年举办的Pwn2Own上,三星当时最新的旗舰手机Galaxy S21也同样“被黑”。
根据Pwn2Own比赛规则,针对同一设备进行挑战的第一名获胜者将获得全额奖金,所有其他后续获胜者将获得 50% 的奖金,但都会获得相同的Master of Pwn 积分。
Pwn2Own 2022已经是连续第10届围绕针对消费者级别的设备进行,本届大赛将围绕手机、无线路由器、家庭自动化中心、打印机、智能扬声器、NAS设备、SOHO Smashup七大类别展开,奖池金额超过100万美元。
在手机类别中,如果能攻破谷歌Pixel 6 和 苹果 iPhone 13,将可最高获得20万美元奖金,如果攻击以内核级权限执行,攻击 谷歌和苹果设备也可以获得 5万美元奖金。对于具有内核级访问权限的完整攻击链,单次挑战的最高奖励总额可达25万美元。
在本届大赛中,SOHO SMASHUP作为新类别,安全创业公司戴夫寇尔(DEVCORE)已成为有史以来第一个成功利用两种不同的基于堆栈的缓冲区溢出攻击攻破 Mikrotik 路由器和佳能打印机的团队。该团队获得了 10 万美元奖金和 10 个 Master of Pwn 积分。