Das renommierte Hacking-Event Pwn2Own findet erstmals in Irland statt und zieht Cybersicherheitsexperten aus aller Welt an. Der Auftakt des Wettbewerbs war äußerst erfolgreich: Die Teilnehmer demonstrierten über 50 Zero-Day-Schwachstellen in verschiedenen IoT-Geräten und erzielten damit Prämien in Höhe von insgesamt 500.000 US-Dollar. Diese Ergebnisse unterstreichen die anhaltenden Sicherheitsherausforderungen im Bereich des Internet of Things (IoT).
Beeindruckende Exploits und hohe Prämien
Das Summoning Team sicherte sich mit 100.000 US-Dollar die höchste Einzelprämie des ersten Tages. Die Experten kombinierten geschickt neun Zero-Day-Schwachstellen, um zunächst einen QNAP QHora-322 Router anzugreifen und anschließend ein TrueNAS Mini X NAS-Gerät zu kompromittieren. Diese komplexe Angriffskette verdeutlicht die potenziellen Risiken verketteter Schwachstellen in Netzwerkinfrastrukturen.
Auch das Viettel Cyber Security Team zeigte beeindruckende Leistungen und erhielt 50.000 US-Dollar für einen ähnlichen Angriff auf QNAP- und TrueNAS-Produkte. Durch weitere erfolgreiche Demonstrationen in anderen Kategorien sicherte sich das Team die Führung in der Master of Pwn-Wertung am ersten Wettkampftag.
Kritische Schwachstellen in Smart Home-Geräten
Ein besonders alarmierender Fund war die Kompromittierung des Sonos Era 300 Smart Speakers durch Jack Dates von RET2 Systems. Für die Demonstration der vollständigen Kontrolle über das Gerät erhielt er eine Prämie von 60.000 US-Dollar. Dieser Vorfall unterstreicht die Notwendigkeit verbesserter Sicherheitsmaßnahmen für Smart Home-Geräte, die zunehmend Einzug in private Haushalte halten.
Weitere erfolgreiche Exploits
Die Teilnehmer demonstrierten außerdem funktionierende Exploits für verschiedene IoT-Geräte:
- Überwachungskameras: Lorex 2K WiFi, Ubiquity AI Bullet und Synology TC500
- Drucker: HP Color LaserJet Pro MFP 3301fdw und Canon imageCLASS MF656Cdw
Die Prämien für diese Angriffe lagen zwischen 11.000 und 30.000 US-Dollar, was die Schwere der entdeckten Sicherheitslücken widerspiegelt.
Ausblick auf die kommenden Tage
In den nächsten Tagen werden die Teilnehmer versuchen, weitere Geräte zu hacken, darunter das Samsung Galaxy S24 Smartphone und den AeoTec Smart Home Hub. Besonders interessant ist die neue Kategorie für Messaging-Apps, in der für einen funktionierenden Zero-Click-Exploit für WhatsApp eine Prämie von bis zu 300.000 US-Dollar ausgelobt wurde.
Trotz hoher Prämien von bis zu 250.000 US-Dollar für Exploits des Pixel 8 und iPhone 15 gab es zu Beginn des Wettbewerbs keine Anmeldungen in dieser Kategorie. Dies könnte auf das hohe Sicherheitsniveau moderner Smartphones oder die Komplexität der Exploit-Entwicklung für diese Geräte hindeuten.
Die Ergebnisse von Pwn2Own Ireland 2024 verdeutlichen die kritische Bedeutung kontinuierlicher Sicherheitstests und -verbesserungen für IoT-Geräte. Die aufgedeckten Schwachstellen ermöglichen es Herstellern, die Sicherheit ihrer Produkte zu verbessern, und sensibilisieren Nutzer für die Notwendigkeit regelmäßiger Firmware-Updates und die Einhaltung grundlegender Cybersicherheitsregeln. In einer Ära, in der intelligente Geräte allgegenwärtig sind, wird ihre Absicherung zu einem Schlüsselfaktor für den Schutz persönlicher Daten und kritischer Infrastrukturen.