Завершилось престижное хакерское соревнование Pwn2Own Ireland 2024, продемонстрировавшее серьезные проблемы в безопасности устройств Интернета вещей (IoT). Участники мероприятия суммарно заработали беспрецедентную сумму в 1 066 625 долларов США, обнаружив и успешно эксплуатировав более 70 новых уязвимостей в различных IoT-устройствах.
Ключевые результаты соревнования
В ходе четырехдневного марафона исследователи продемонстрировали работающие эксплоиты для широкого спектра устройств, включая:
- Камеры видеонаблюдения
- Сетевые принтеры
- NAS-хранилища
- «Умные» колонки
- Смартфоны
- Маршрутизаторы
Особого внимания заслуживает успешная атака на полностью обновленный смартфон Samsung Galaxy S24, за которую исследователи получили 50 000 долларов. Этот факт подчеркивает, что даже новейшие устройства ведущих производителей могут содержать критические уязвимости.
Динамика выплат и наиболее интересные эксплоиты
Распределение призового фонда по дням соревнования выглядело следующим образом:
- День 1: более 500 000 долларов
- День 2: более 350 000 долларов
- День 3: около 150 000 долларов
- День 4: 73 000 долларов
Среди наиболее примечательных достижений — успешные атаки на маршрутизатор QNAP, принтеры Canon и Lexmark, камеру Lorex, а также NAS-устройства компаний TrueNAS, QNAP и Synology. Вознаграждения за эти эксплоиты варьировались от 3 000 до 25 000 долларов.
Победители и будущие перспективы
Абсолютным чемпионом Pwn2Own Ireland 2024 стала команда Viettel Cyber Security, набравшая 33 балла и получившая титул «Master of Pwn». Их успешные атаки на QNAP NAS, колонку Sonos и принтеры Lexmark принесли команде 205 000 долларов.
Организаторы мероприятия, Trend Micro Zero Day Initiative (ZDI), уже анонсировали следующее соревнование Pwn2Own, которое состоится 22 января 2025 года в Токио. Оно будет посвящено автомобильной промышленности и включит четыре категории: Tesla, автомобильные информационно-развлекательные системы, зарядные устройства для электромобилей и операционные системы.
Результаты Pwn2Own Ireland 2024 демонстрируют растущую угрозу для устройств Интернета вещей и подчеркивают необходимость усиления мер кибербезопасности в этой области. Производителям IoT-устройств следует уделять больше внимания безопасности своих продуктов, а пользователям — регулярно обновлять программное обеспечение и соблюдать базовые правила цифровой гигиены. Только комплексный подход к кибербезопасности позволит минимизировать риски в эпоху повсеместного распространения умных устройств.