Второй день престижного соревнования по кибербезопасности Pwn2Own 2024 в Ирландии принес участникам впечатляющие результаты и существенные денежные вознаграждения. Эксперты по информационной безопасности продемонстрировали 51 уязвимость нулевого дня в различных устройствах, заработав более 350 000 долларов США. Общая сумма выплат за два дня соревнований, организованных Trend Micro Zero Day Initiative (ZDI), уже достигла внушительной отметки в 850 000 долларов.
Взлом Samsung Galaxy S24: Пять уязвимостей в одной цепочке
Одним из наиболее значимых достижений второго дня стала успешная атака на флагманский смартфон Samsung Galaxy S24. Кен Гэннон из команды NCC Group продемонстрировал впечатляющую цепочку из пяти уязвимостей, позволившую установить на устройство вредоносное приложение и получить удаленный доступ к системе. За это достижение эксперт получил вознаграждение в размере 50 000 долларов США.
Стоит отметить, что организаторы Pwn2Own предлагали еще более крупные призы за взлом других популярных смартфонов. Так, за успешные эксплоиты для Google Pixel 8 и Apple iPhone 15 было обещано вознаграждение в 250 000 долларов. Однако ни один из участников не решился атаковать эти устройства, что может свидетельствовать об их высоком уровне защиты или сложности обнаружения уязвимостей.
IoT-устройства под прицелом хакеров
Помимо смартфонов, участники соревнования успешно атаковали различные устройства «умного дома» и сетевое оборудование:
- Команда DEVCORE Research получила 40 000 долларов за эксплоит, нацеленный на хаб AeoTec Smart Home.
- Аналогичную сумму заработали исследователи, продемонстрировавшие уязвимости в NAS-устройстве Synology BeeStation BST150-4T.
- Еще 40 000 долларов принесла цепочка эксплоитов, позволившая получить доступ к NAS QNAP TS-464 через маршрутизатор QNAP QHora-322.
Лидером соревнований по количеству набранных баллов и сумме вознаграждений остается команда Viettel Cyber Security. Эксперты из этой группы успешно атаковали несколько устройств, включая популярную умную колонку Sonos Era 300.
Сложности и неудачи: реальность хакерских атак
Несмотря на множество успешных демонстраций, некоторые попытки взлома окончились неудачей. Это подчеркивает сложность и непредсказуемость работы исследователей кибербезопасности в реальных условиях. Например:
- Команды Tenable и Synactiv получили уменьшенные выплаты из-за «коллизий» — ситуаций, когда разные исследователи использовали одинаковые эксплоиты для взлома устройств Lorex 2K и Synology BeeStation.
- Специалисты из DEVCORE, Rapid7 и Neodyme столкнулись с техническими трудностями при попытках атаковать колонку Sonos Era 300 и принтер Lexmark CX331adwe, что привело к неудачным демонстрациям.
Соревнование Pwn2Own 2024 наглядно демонстрирует текущее состояние кибербезопасности популярных устройств и важность постоянного совершенствования защитных механизмов. Производителям следует внимательно изучить результаты конкурса и оперативно устранить обнаруженные уязвимости, чтобы защитить пользователей от потенциальных атак. Пользователям же рекомендуется своевременно обновлять программное обеспечение своих устройств и соблюдать базовые правила цифровой гигиены для минимизации рисков в условиях постоянно эволюционирующих киберугроз.
