Pwn2Own Toronto 2022 పోటీ యొక్క నాలుగు రోజుల ఫలితాలు సంగ్రహించబడ్డాయి, దీనిలో మొబైల్ పరికరాలు, ప్రింటర్లు, స్మార్ట్ స్పీకర్లు, స్టోరేజ్ సిస్టమ్లు మరియు రూటర్లలో గతంలో తెలియని 63 దుర్బలత్వాలు (0-రోజులు) ప్రదర్శించబడ్డాయి. దాడులు అందుబాటులో ఉన్న అన్ని అప్డేట్లతో మరియు డిఫాల్ట్ కాన్ఫిగరేషన్లో తాజా ఫర్మ్వేర్ మరియు ఆపరేటింగ్ సిస్టమ్లను ఉపయోగించాయి. చెల్లించిన మొత్తం రుసుము US$934,750.
36 బృందాలు మరియు భద్రతా పరిశోధకులు పోటీలో పాల్గొన్నారు. అత్యంత విజయవంతమైన DEVCORE బృందం పోటీ నుండి 142 వేల US డాలర్లను సంపాదించగలిగింది. రెండవ స్థానంలో నిలిచిన విజేతలు (టీమ్ వియెటెల్) $82 వేలు, మూడవ స్థానంలో నిలిచిన విజేతలు (NCC గ్రూప్) $78 వేలు అందుకున్నారు.
పోటీ సమయంలో, పరికరాలలో రిమోట్ కోడ్ అమలుకు దారితీసిన దాడులు ప్రదర్శించబడ్డాయి:
- Canon imageCLASS MF743Cdw ప్రింటర్ (11 విజయవంతమైన దాడులు, $5000 మరియు $10000 అవార్డులు).
- Lexmark MC3224i ప్రింటర్ (8 దాడులు, $7500, $10000 మరియు $5000 బోనస్లు).
- HP కలర్ లేజర్జెట్ ప్రో M479fdw ప్రింటర్ (5 దాడులు, $5000, $10000 మరియు $20000 అవార్డులు).
- స్మార్ట్ స్పీకర్ సోనోస్ వన్ స్పీకర్ (3 దాడులు, ప్రీమియంలు $22500 మరియు $60000).
- సైనాలజీ డిస్క్స్టేషన్ DS920+ నెట్వర్క్ నిల్వ (రెండు దాడులు, $40000 మరియు $20000 ప్రీమియంలు).
- WD My Cloud Pro PR4100 నెట్వర్క్ స్టోరేజ్ ($3 యొక్క 20000 అవార్డులు మరియు $40000 యొక్క ఒక అవార్డు).
- సైనాలజీ RT6600ax రూటర్ ($5 బోనస్లతో WAN ద్వారా 20000 దాడులు మరియు LAN ద్వారా దాడులకు $5000 మరియు $1250 రెండు బోనస్లు).
- సిస్కో ఇంటిగ్రేటెడ్ సర్వీస్ రూటర్ C921-4P ($37500).
- Mikrotik RouterBoard RB2011UiAS-IN రౌటర్ (బహుళ-దశల హ్యాకింగ్ కోసం $100,000 అవార్డు - మొదట Mikrotik రూటర్ దాడి చేయబడింది, ఆపై, LAN, Canon ప్రింటర్కు యాక్సెస్ పొందిన తర్వాత).
- NETGEAR RAX30 AX2400 రూటర్ (7 దాడులు, $1250, $2500, $5000, $7500, $8500 మరియు $10000 ప్రీమియంలు).
- TP-Link AX1800/ఆర్చర్ AX21 రూటర్ (WAN దాడి, $20000 ప్రీమియం మరియు LAN దాడి, $5000 ప్రీమియం).
- Ubiquiti EdgeRouter X SFP రూటర్ ($50000).
- Samsung Galaxy S22 స్మార్ట్ఫోన్ (4 దాడులు, మూడు $25000 అవార్డులు మరియు ఒక $50000 అవార్డు).
పైన పేర్కొన్న విజయవంతమైన దాడులతో పాటు, దుర్బలత్వాన్ని ఉపయోగించుకోవడానికి 11 ప్రయత్నాలు విఫలమయ్యాయి. పోటీలో, Apple iPhone 13 మరియు Google Pixel 6లను హ్యాక్ చేయాలని కూడా ప్రతిపాదించబడింది, అయితే ఈ పరికరాల కోసం కెర్నల్ స్థాయిలో కోడ్ని అమలు చేయడానికి అనుమతించే దోపిడీని సిద్ధం చేసినందుకు గరిష్ట బహుమతి $250,000 అయినప్పటికీ, దాడులను నిర్వహించడం కోసం దరఖాస్తులు ఏవీ స్వీకరించబడలేదు. . హోమ్ ఆటోమేషన్ సిస్టమ్లు Amazon Echo Show 15, Meta Portal Go మరియు Google Nest Hub Max, అలాగే స్మార్ట్ స్పీకర్లు Apple HomePod Mini, Amazon Echo Studio మరియు Google Nest Audio హ్యాకింగ్ కోసం ప్రతిపాదనలు, హ్యాకింగ్ చేసినందుకు బహుమతి $60,000 కూడా క్లెయిమ్ చేయబడలేదు.
సమస్య యొక్క నిర్దిష్ట భాగాలు ఇంకా నివేదించబడలేదు; పోటీ నిబంధనలకు అనుగుణంగా, అన్ని ప్రదర్శించబడిన 0-రోజుల దుర్బలత్వాల గురించిన వివరణాత్మక సమాచారం 120 రోజుల తర్వాత మాత్రమే ప్రచురించబడుతుంది, ఇవి హానిని తొలగించే నవీకరణలను సిద్ధం చేయడానికి తయారీదారులకు అందించబడతాయి.
మూలం: opennet.ru