Pwn2Ownトロントで100万ドル以上がハッカーに授与される

Pwn2Ownは、2023年10月27日にカナダのトロントで終了した年次コンピュータハッキングコンテストで、セキュリティ研究者たちは58のユニークなゼロデイエクスプロイト（および複数のバグ衝突）に対して1,038,500ドルを獲得しました。

この4日間のハッキングイベントは、2023年10月24日から10月27日まで開催され、賞金は100万ドル以上、他の形の賞品も参加者に提供されました。

ハッキングイベントには、セキュリティ研究者が競技でターゲットにするための複数のカテゴリーがあり、プリンター、監視システム、ネットワーク接続ストレージ（NAS）デバイス、携帯電話、ホームオートメーションハブ、スマートスピーカー、GoogleのPixel WatchおよびChromecastデバイスが含まれていました。

ハッキングコンテストでは、Samsung Galaxy S23がPentest Ltd、STAR Labs SG、Interrupt Labs、ToChimのチームによって4回成功裏にハッキングされました。Pentest LtdとInterrupt LabsはSamsung Galaxy S23に対して不適切な入力検証を実行でき、STAR Labs SGとToChimはスマートフォンに対して許可された入力の寛容なリストを悪用することができました。

さらに、Samsung Galaxy S23の悪用により、Pentest LtdとInterrupt Labsのチームはそれぞれ50,000ドルと25,000ドルの報酬を得て、5 Master of Pwnポイントを獲得しました。一方、STAR Labs SGとToChimのチームはそれぞれ25,000ドルと5 Master of Pwnポイントを獲得しました。

その他のハイライト：

• Chris AnastasioはTP-Link Omada Gigabit RouterのバグとLexmark CX331adweのバグを悪用し、100,000ドルを獲得しました。

• Sea SecurityのTeam Orcaは、Sonos Era 100に対してOOB ReadとUAFを使用した2バグチェーンを実行し、60,000ドルを獲得しました。

• DEVCOREインターンはTP-Link Omada Gigabit Routerに対してスタックオーバーフロー攻撃を実行し、QNAP TS-464の2つのバグを悪用して50,000ドルを獲得しました。

• Team ViettelはTP-Link Omada Gigabit RouterとCanon imageCLASS MF753Cdwに対してヒープベースのバッファオーバーフローとスタックベースのバッファオーバーフローを実行し、SOHO Smashupで50,000ドルを獲得しました。

• Xiaomi、Western Digital、Synology、Canon、Lexmark、Sonos、TP-Link、QNAP、Wyze、Lexmark、HPはすべて競技中に悪用されました。

全体のMaster of Pwnの勝者はTeam Viettelで、30 Master of Pwnポイントを獲得し、180,000ドルを勝ち取りました。リーダーボードでは、Team Orca of Sea Securityが116,250ドル（17.25ポイント）で続き、DEVCOREインターンとInterrupt Labsがそれぞれ50,000ドルと10ポイントを獲得しました。

Chris AnastasioとPentest Ltd.はそれぞれ4位と5位にランクインし、9ポイントずつ獲得し、100,000ドルと90,000ドルを獲得しました。

Pwn2Own Toronto 2023ハッキングイベントの全スケジュールはここで確認できます。各チャレンジのデイワイズ結果もここで確認できます（1, 2, 3, 4）。

Pwn2Ownとは？

Pwn2Ownは、Trend MicroのZero Day Initiative（ZDI）が毎年開催するハッキングコンペティションで、倫理的ハッカー、サイバーセキュリティ専門家、その他の参加者が参加します。

Pwn2Ownハッキングコンテストでは、セキュリティ研究者が最新かつ最も人気のあるモバイルデバイスやIoTデバイスを悪用し、スキルを示し、テクノロジー企業に主要なゼロデイ脆弱性を開示します。コンテストの勝者は、悪用したデバイスと現金賞を受け取ります。

イベントの後、ベンダーはこれらのバグのパッチを作成するために90日間の猶予があります。期限が終了すると、ZDIはパッチの状態に関係なく、脆弱性を公に開示します。