Pwn2Own Toronto 2022 lehiaketako lau egunetako emaitzak laburbildu dira, eta bertan gailu mugikorretan, inprimagailuetan, bozgorailu adimendunetan, biltegiratze sistemetan eta bideratzaileetan orain arte ezezagun diren 63 ahultasun (0 eguneko) frogatu ziren. Erasoek azken firmware eta sistema eragileak erabili zituzten eskuragarri dauden eguneratze guztiekin eta lehenetsitako konfigurazioan. Ordaindutako kuoten guztizko zenbatekoa 934,750 USD izan zen.
Lehiaketan 36 talde eta segurtasun ikertzailek hartu dute parte. DEVCORE talde arrakastatsuenak 142 mila dolar irabaztea lortu zuen lehiaketatik. Bigarren sailkatuek (Team Viettel) 82 mila dolar jaso zituzten, eta hirugarren sailkatuek (NCC taldea) 78 mila dolar.
Lehiaketan zehar, gailuetan urruneko kodea exekutatzen zuten erasoak frogatu ziren:
- Canon imageCLASS MF743Cdw inprimagailua (11 eraso arrakastatsu, 5000 $ eta 10000 $ sariak).
- Lexmark MC3224i inprimagailua (8 eraso, 7500 $, 10000 $ eta 5000 $-ko hobariak).
- HP Color LaserJet Pro M479fdw inprimagailua (5 eraso, 5000 $, 10000 $ eta 20000 $ sariak).
- Bozgorailu adimenduna Sonos One Speaker (3 eraso, primak 22500 $ eta 60000 $).
- Synology DiskStation DS920+ sareko biltegiratzea (bi eraso, 40000 $ eta 20000 $ prima).
- WD My Cloud Pro PR4100 Network Storage (3 $-ko 20000 sari eta 40000 $-ko sari bat).
- Synology RT6600ax bideratzailea (5 eraso WAN bidez 20000 $ hobariekin eta 5000 $ eta 1250 $-ko bi hobari LAN bidezko erasoetarako).
- Cisco Integrated Service Router C921-4P (37500 $).
- Mikrotik RouterBoard RB2011UiAS-IN bideratzailea (100,000 $ saria etapa anitzeko hackingagatik - lehenik Mikrotik bideratzailea erasotu zen, eta gero, LANerako sarbidea lortu ondoren, Canon inprimagailu bat).
- NETGEAR RAX30 AX2400 bideratzailea (7 eraso, 1250 $, 2500 $, 5000 $, 7500 $, 8500 $ eta 10000 $ prima).
- TP-Link AX1800/Archer AX21 bideratzailea (WAN erasoa, 20000 $ premium eta LAN erasoa, 5000 $ premium).
- Ubiquiti EdgeRouter X SFP bideratzailea (50000 $).
- Samsung Galaxy S22 telefonoa (4 eraso, hiru $ 25000 sari eta $ 50000 sari bat).
Goian adierazitako eraso arrakastatsuez gain, ahuleziak ustiatzeko 11 saiakerak porrot egin zuten. Lehiaketan, Apple iPhone 13 eta Google Pixel 6 hackeatzea ere proposatu zen, baina ez zen erasoak egiteko aplikaziorik jaso, nahiz eta gailu hauetarako nukleo mailan kodea exekutatzea ahalbidetzen duen ustiapen bat prestatzearen gehienezko saria 250,000 $ izan zen. . Amazon Echo Show 15, Meta Portal Go eta Google Nest Hub Max domotika sistemak hackeatzeko proposamenak, baita Apple HomePod Mini, Amazon Echo Studio eta Google Nest Audio bozgorailu adimendunak ere, hackeatzeko saria 60,000 dolar izan zena, erreklamatu gabe geratu ziren.
Arazoaren zein osagai zehatz ez diren oraindik jakinarazi; lehiaketaren baldintzen arabera, frogatutako 0 eguneko ahultasun guztiei buruzko informazio zehatza argitaratuko da 120 egun igaro ondoren, fabrikatzaileei emango zaiena ahuleziak kentzen dituzten eguneraketak presta ditzaten.
Iturria: opennet.ru