El evento de cuatro días de Pwn2Own terminó con hackers de sombrero blanco ganando casi un millón de dólares este año.
Juntos, todos los equipos han encontrado 63 vulnerabilidades de día cero en varios dispositivos de varios OEM que se ocupan de la tecnología. Los equipos que golpean el Galaxy S22 de Samsung han sido lo más destacado de Pwn2Own 2022, ya que se violó cuatro veces durante el evento.
Estadísticas de Pwn2Own 2022
Para lo desconocido, Pwn2Own es un evento anual en el que los piratas informáticos éticos compiten para encontrar errores en varios de los dispositivos OEM participantes y se les paga por descubrir con éxito cualquier error desconocido. Este año, el Pwn2Own celebrada en Toronto dio un total de $ 989,750 a todos los concursantes por sus contribuciones.
Terminando el evento de cuatro dias El 9 de diciembre, los organizadores de Pwn2Own dijeron que 26 equipos e investigadores de seguridad encontraron alrededor de 63 exploits de día cero (y múltiples colisiones de errores) en varios productos de consumo como teléfonos móviles, centros de automatización del hogar, impresoras, enrutadores inalámbricos, almacenamiento conectado a la red, y categorías de altavoces inteligentes.
Los números finales para #Pwn2Own Toronto 2022:
$989,750 otorgados
63 días 0 únicos
66 entradas
36 equipos diferentes que representan a más de 14 paísesTe veo en #Pwn2Own ¡Miami en febrero!
— Iniciativa de Día Cero (@thezdi) 9 de diciembre de 2022
Todos los dispositivos en cuestión están actualizados en sus versiones de software y en su configuración predeterminada mientras son pirateados. Si bien nadie se registró para piratear los teléfonos inteligentes Apple iPhone 13 y Google Pixel 6, ¡El Galaxy S22 de Samsung fue pirateado cuatro veces durante el evento!
El primero fue reclamado por STAR Labs el día 1, donde aprovechó un error de validación de entrada para ganar $ 50,000 y 5 puntos Master of Pwn. Le siguió Chim para explotar el mismo error de día cero por $ 25,000 e Interrupt Labs y Pentest Limited en días consecutivos.
Pentest Limited, en especial, ha demostrado su hazaña de día cero en solo 55 segundos. Los dispositivos de otras marcas que se verán afectadas en el evento incluyen Canon, HP, Mikrotik, NETGEAR, Sonos, TP-Link, Lexmark, Synology, Ubiquiti, Western Digital, Mikrotik y HP.
Todos estos OEM tendrán 120 días para lanzar parches para los errores detectados antes de que ZDI los revele públicamente.
