Das renommierte Hacking-Event Pwn2Own Ireland 2024 hat ernsthafte Sicherheitsmängel in IoT-Geräten (Internet of Things) aufgedeckt. Die Teilnehmer erzielten eine Rekordsumme von 1.066.625 US-Dollar für die Entdeckung und erfolgreiche Ausnutzung von über 70 neuen Schwachstellen in verschiedenen vernetzten Geräten.
Kritische Schwachstellen in IoT-Geräten demonstriert
Während des viertägigen Wettbewerbs präsentierten Sicherheitsforscher funktionierende Exploits für ein breites Spektrum von Geräten, darunter:
- Überwachungskameras
- Netzwerkdrucker
- NAS-Speichersysteme
- Smart Speaker
- Smartphones
- Router
Besonders bemerkenswert war ein erfolgreicher Angriff auf das brandneue Samsung Galaxy S24, für den die Forscher 50.000 Dollar erhielten. Diese Tatsache unterstreicht, dass selbst die neuesten Geräte führender Hersteller kritische Sicherheitslücken aufweisen können.
Prämienverteilung und herausragende Exploits
Die Verteilung des Preisgeldes über die Wettbewerbstage hinweg gestaltete sich wie folgt:
- Tag 1: über 500.000 Dollar
- Tag 2: über 350.000 Dollar
- Tag 3: etwa 150.000 Dollar
- Tag 4: 73.000 Dollar
Zu den bemerkenswertesten Leistungen zählten erfolgreiche Angriffe auf einen QNAP-Router, Drucker von Canon und Lexmark, eine Lorex-Kamera sowie NAS-Geräte von TrueNAS, QNAP und Synology. Die Prämien für diese Exploits lagen zwischen 3.000 und 25.000 Dollar.
Sieger und Zukunftsperspektiven
Das Team Viettel Cyber Security wurde zum absoluten Champion des Pwn2Own Ireland 2024 gekürt. Mit 33 Punkten sicherten sie sich den Titel „Master of Pwn“. Ihre erfolgreichen Angriffe auf QNAP NAS, einen Sonos-Lautsprecher und Lexmark-Drucker brachten dem Team insgesamt 205.000 Dollar ein.
Nächstes Pwn2Own-Event fokussiert Automobilindustrie
Die Organisatoren, Trend Micro’s Zero Day Initiative (ZDI), haben bereits das nächste Pwn2Own-Event für den 22. Januar 2025 in Tokio angekündigt. Der Fokus wird auf der Automobilindustrie liegen, mit vier Kategorien: Tesla, Infotainment-Systeme, Ladestationen für Elektrofahrzeuge und Betriebssysteme.
Die Ergebnisse des Pwn2Own Ireland 2024 verdeutlichen die wachsende Bedrohung für IoT-Geräte und unterstreichen die Notwendigkeit verstärkter Cybersicherheitsmaßnahmen in diesem Bereich. IoT-Gerätehersteller müssen der Sicherheit ihrer Produkte höchste Priorität einräumen. Gleichzeitig sind Nutzer gefordert, Software regelmäßig zu aktualisieren und grundlegende Regeln der digitalen Hygiene zu befolgen. Nur ein ganzheitlicher Ansatz zur Cybersicherheit kann die Risiken in einer Ära allgegenwärtiger intelligenter Geräte minimieren. Unternehmen und Privatanwender sollten die Erkenntnisse aus solchen Wettbewerben nutzen, um ihre Sicherheitsstrategien zu überprüfen und anzupassen. Die kontinuierliche Weiterentwicklung von Sicherheitsprotokollen und -praktiken ist unerlässlich, um mit den sich ständig weiterentwickelnden Bedrohungen Schritt zu halten und die Integrität vernetzter Systeme zu gewährleisten.
