Der renommierte Hacking-Wettbewerb Pwn2Own 2024 in Irland hat erneut die Aufmerksamkeit der Cybersicherheitsbranche auf sich gezogen. An nur zwei Tagen demonstrierten Sicherheitsexperten 51 bisher unbekannte Schwachstellen in verschiedenen Geräten und erzielten dabei Preisgelder von insgesamt 850.000 US-Dollar. Diese Ergebnisse unterstreichen die anhaltende Notwendigkeit robuster Sicherheitsmaßnahmen in der digitalen Welt.
Samsung Galaxy S24: Komplexe Angriffskette enthüllt multiple Schwachstellen
Ein Höhepunkt des Wettbewerbs war die erfolgreiche Kompromittierung des Samsung Galaxy S24. Ken Gannon vom NCC Group-Team präsentierte eine beeindruckende Kette von fünf Schwachstellen, die es ermöglichten, eine schädliche Anwendung auf dem Gerät zu installieren und Fernzugriff zu erlangen. Diese Demonstration verdeutlicht die Komplexität moderner Exploits und brachte dem Experten ein Preisgeld von 50.000 US-Dollar ein.
Hochsichere Smartphones bleiben unangetastet
Interessanterweise wagte kein Teilnehmer einen Angriff auf das Google Pixel 8 oder das Apple iPhone 15, obwohl dafür Preisgelder von jeweils 250.000 US-Dollar ausgelobt waren. Dies könnte auf ein besonders hohes Sicherheitsniveau oder die Schwierigkeit, Schwachstellen in diesen Geräten zu finden, hindeuten.
IoT-Geräte im Fokus: Smart Home-Sicherheit auf dem Prüfstand
Neben Smartphones standen auch verschiedene IoT-Geräte im Mittelpunkt der Hacker-Angriffe:
- Das DEVCORE Research-Team erhielt 40.000 US-Dollar für einen erfolgreichen Exploit des AeoTec Smart Home Hub.
- Forscher demonstrierten Schwachstellen im Synology BeeStation BST150-4T NAS-Gerät, was ebenfalls mit 40.000 US-Dollar belohnt wurde.
- Eine Exploit-Kette, die Zugriff auf ein QNAP TS-464 NAS über einen QNAP QHora-322 Router ermöglichte, brachte weitere 40.000 US-Dollar ein.
Die Viettel Cyber Security-Gruppe führt derzeit die Rangliste des Wettbewerbs an, nachdem sie erfolgreich mehrere Geräte kompromittierte, darunter den populären Sonos Era 300 Smart Speaker.
Realität des Hackings: Herausforderungen und Misserfolge
Trotz zahlreicher Erfolge zeigten sich auch die Grenzen und Schwierigkeiten des Hackings unter Wettbewerbsbedingungen:
- Teams von Tenable und Synactiv erhielten reduzierte Preisgelder aufgrund von „Kollisionen“ – Situationen, in denen verschiedene Forscher identische Exploits für die gleichen Geräte verwendeten.
- Experten von DEVCORE, Rapid7 und Neodyme scheiterten bei Angriffsversuchen auf den Sonos Era 300 Speaker und den Lexmark CX331adwe Drucker aufgrund technischer Schwierigkeiten.
Die Ergebnisse des Pwn2Own 2024 bieten wertvolle Einblicke in den aktuellen Stand der Gerätesicherheit und unterstreichen die Notwendigkeit kontinuierlicher Verbesserungen. Hersteller sollten die aufgedeckten Schwachstellen umgehend adressieren, um potenzielle Angriffe zu verhindern. Endnutzer werden daran erinnert, ihre Geräte regelmäßig zu aktualisieren und grundlegende Sicherheitspraktiken zu befolgen, um sich vor den sich ständig weiterentwickelnden Cyber-Bedrohungen zu schützen. Der Wettbewerb verdeutlicht einmal mehr die entscheidende Rolle von Sicherheitsforschung und ethischem Hacking für die Verbesserung der digitalen Sicherheitslandschaft.
