Другий день престижного змагання з кібербезпеки Pwn2Own 2024 в Ірландії приніс вражаючі результати. Експерти з інформаційної безпеки продемонстрували 51 вразливість нульового дня у різноманітних пристроях, заробивши понад 350 000 доларів США. Загальна сума виплат за два дні змагань, організованих Trend Micro Zero Day Initiative (ZDI), сягнула 850 000 доларів, що підкреслює важливість виявлення та усунення потенційних загроз у сучасних технологіях.
Злам Samsung Galaxy S24: П’ять вразливостей в одному ланцюжку
Одним з найвизначніших досягнень другого дня стала успішна атака на флагманський смартфон Samsung Galaxy S24. Кен Геннон з команди NCC Group продемонстрував вражаючий ланцюжок з п’яти вразливостей, що дозволив встановити на пристрій шкідливий додаток та отримати віддалений доступ до системи. За це досягнення експерт отримав винагороду у розмірі 50 000 доларів США.
Варто зазначити, що організатори Pwn2Own пропонували ще більші призи за злам інших популярних смартфонів. Так, за успішні експлойти для Google Pixel 8 та Apple iPhone 15 було обіцяно винагороду у 250 000 доларів. Однак жоден з учасників не наважився атакувати ці пристрої, що може свідчити про їх високий рівень захисту або складність виявлення вразливостей.
IoT-пристрої під прицілом хакерів
Окрім смартфонів, учасники змагання успішно атакували різноманітні пристрої “розумного дому” та мережеве обладнання:
- Команда DEVCORE Research отримала 40 000 доларів за експлойт, націлений на хаб AeoTec Smart Home.
- Аналогічну суму заробили дослідники, які продемонстрували вразливості в NAS-пристрої Synology BeeStation BST150-4T.
- Ще 40 000 доларів приніс ланцюжок експлойтів, що дозволив отримати доступ до NAS QNAP TS-464 через маршрутизатор QNAP QHora-322.
Лідером змагань за кількістю набраних балів та сумою винагород залишається команда Viettel Cyber Security. Експерти з цієї групи успішно атакували кілька пристроїв, включаючи популярну розумну колонку Sonos Era 300.
Реальність хакерських атак: складнощі та невдачі
Незважаючи на численні успішні демонстрації, деякі спроби зламу завершилися невдачею. Це підкреслює складність та непередбачуваність роботи дослідників кібербезпеки в реальних умовах. Наприклад:
- Команди Tenable та Synactiv отримали зменшені виплати через “колізії” – ситуації, коли різні дослідники використовували однакові експлойти для зламу пристроїв Lorex 2K та Synology BeeStation.
- Фахівці з DEVCORE, Rapid7 та Neodyme зіткнулися з технічними труднощами при спробах атакувати колонку Sonos Era 300 та принтер Lexmark CX331adwe, що призвело до невдалих демонстрацій.
Змагання Pwn2Own 2024 наочно демонструє поточний стан кібербезпеки популярних пристроїв та важливість постійного вдосконалення захисних механізмів. Виробникам слід уважно вивчити результати конкурсу та оперативно усунути виявлені вразливості, щоб захистити користувачів від потенційних атак. Користувачам же рекомендується своєчасно оновлювати програмне забезпечення своїх пристроїв та дотримуватися базових правил цифрової гігієни для мінімізації ризиків в умовах постійно еволюціонуючих кіберзагроз. Результати Pwn2Own 2024 підкреслюють необхідність постійної пильності та співпраці між виробниками, дослідниками та користувачами для забезпечення безпеки в цифровому світі.
