Bezbjednosni istraživači inkasirali su ukupno 792.750 dolara nakon što su tokom drugog dana takmičenja Pwn2Own Ireland 2025 iskoristili 56 jedinstvenih zero-day ranjivosti.
Glavni trenutak dana bio je nastup Kena Gannona iz Mobile Hacking Laba i Dimitriosa Valsamarasa iz Summoning Teama, koji su hakovali Samsung Galaxy S25 koristeći lanac od pet bezbjednosnih propusta. Za ovaj podvig nagrađeni su sa 50.000 dolara i pet „Master of Pwn“ poena.
Tim PHP Hooligans uspio je da kompromituje NAS uređaj QNAP TS-453E za samo jednu sekundu, ali je ranjivost koju su iskoristili već bila demonstrirana u okviru takmičenja.
Chumy Tsai iz kompanije CyCraft Technology, Le Trong Phuc i Cao Ngoc Quy iz Verichains Cyber Force tima, kao i Mehdi i Matthieu iz Synacktiv Teama, takođe su osvojili po 20.000 dolara za uspješne napade na uređaje QNAP TS-453E, Synology DS925+ i Philips Hue Bridge.
Takmičari su, osim toga, iskoristili zero-day propuste i u Canon imageCLASS MF654Cdw štampaču, Home Automation Green sistemu, Synology CC400W kameri, Synology DS925+ NAS uređaju, Amazon Smart Plug pametnoj utičnici i Lexmark CX532adwe štampaču.
Summoning Team i dalje se nalazi na vrhu „Master of Pwn“ liste sa 18 poena, nakon što su tokom prva dva dana osvojili ukupno 167.500 dolara.
Tokom prvog dana Pwn2Own Ireland takmičenja, istraživači su demonstrirali 34 nove zero-day ranjivosti i zaradili 522.500 dolara. Nakon završetka događaja, proizvođači imaju rok od 90 dana da objave zakrpe prije nego što ZDI (Zero Day Initiative) javno otkrije ranjivosti.
Trećeg i posljednjeg dana Pwn2Own-a, učesnici će ponovo ciljati Samsung Galaxy S25, kao i više NAS uređaja i štampača. Eugene iz tima Z3 pokušaće da demonstrira WhatsApp „zero-click“ ranjivost koja omogućava udaljeno izvršavanje koda, a vrijedna je čak milion dolara.
Meta je jedan od sponzora ovogodišnjeg Pwn2Own Ireland 2025 takmičenja, zajedno sa kompanijama Synology i QNAP. Događaj se održava u Korku od 21. do 24. oktobra.
Pwn2Own Ireland 2025 obuhvata osam kategorija koje ciljaju vodeće pametne telefone (Samsung Galaxy S25, Apple iPhone 16 i Google Pixel 9), štampače, mrežne skladišne sisteme, kućne mrežne uređaje, aplikacije za razmjenu poruka, pametne kućne uređaje, opremu za video-nadzor i nosivu tehnologiju (uključujući Meta Quest 3/3S i Ray-Ban Smart Glasses).
Ovogodišnje takmičenje proširuje napadne vektore i na USB eksploataciju na mobilnim uređajima, gdje istraživači moraju hakovati zaključane telefone putem fizičke veze. Tradicionalni bežični protokoli poput Wi-Fi-ja, Bluetooth-a i NFC-a i dalje su dozvoljeni.
Tokom prošlogodišnjeg Pwn2Own Ireland 2024 događaja, hakeri su zaradili 1.078.750 dolara za više od 70 zero-day ranjivosti, dok je tim Viettel Cyber Security odnio 205.000 dolara nakon uspješnih eksploatacija propusta u QNAP, Sonos i Lexmark uređajima.
U januaru 2026. ZDI će se vratiti na sajam Automotive World u Tokiju, gdje će biti održano treće izdanje Pwn2Own Automotive takmičenja, ponovo uz sponzorstvo kompanije Tesla.
Izvor: BleepingComputer