Vn-Z.vn Ngày 29 tháng 10 năm 2023, Cuộc thi hacker Pwn2Own 2023 đã kết thúc vào ngày 27 tháng 10 theo giờ địa phương. Cuộc thi tấn công an ninh mạng uy tín lớn nhất thế giới được hãng bảo mật TrendMicro tài trợ và tổ chức bởi Zero Day Initiative này được tổ chức tại Toronto, Canada. Hacker có thể sử dụng nhiều lỗ hổng khác nhau để tấn công các sản phẩm điện tử tiêu dùng và nhận được tiền thưởng tương ứng với điểm Master of Pwn.
Các gã khổng lồ công nghệ như Google, Microsoft, Apple và Adobe đềutham gia hỗ trợ cho cuộc thi này. Đây cũng là nới có các hacker nổi tiếng nhất cạnh tranh trên thế giới với giải thưởng rất lớn.
Tại cuộc thi các chuyên gia nghiên cứu bảo mật đã khai thác 58 lỗ hổng zero-day (và nhiều lỗ hổng xung đột ) trong các cuộc hack vào các sản phẩm tiêu dùng, với tổng số tiền thưởng là 1,0385 triệu USD.
Các lỗ hổng zero-day được khai thác nhắm mục tiêu vào các thiết bị từ nhiều nhà cung cấp, bao gồm Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze và HP.
Sau khi các lỗ hổng zero-day này được báo cáo cho nhà cung cấp, nhà cung cấp có 120 ngày để tung ra bản vá cập nhật trước khi ZDI công khai lỗ hổng này. Trong cuộc thi, các chuyên gia nghiên cứu bảo mật cũng thực hiện xâm nhập vào các thiết bị di động IoT, bao gồm điện thoại di động (iPhone 14, Pixel 7, Samsung Galaxy S23 và Xiaomi 13 Pro), máy in, bộ định tuyến không dây, thiết bị NAS, trung tâm tự động hóa gia đình, hệ thống giám sát, loa thông minh và các thiết bị bao gồm Pixel Watch và Chromecast của Google, tất cả đều ở cấu hình mặc định và chạy các bản cập nhật bảo mật mới nhất.
Kết quả của cuộc thi cho thấy không có đội nào đăng ký hack Apple iPhone 14 và Google Pixel 7. Họ đã hack thành công vào Samsung Galaxy S23 tới 4 lần. Ngay trong ngày đầu tiên diễn ra cuộc thi, Samsung Galaxy S23 đã bị hack thành công 2 lần, trong đó nhóm Pentest Limited đã khai thác lỗ hổng xác thực đầu vào không chính xác để thực thi mã tùy ý, nhờ đó giành được tiền thưởng 50.000 USD và 5 Master. của điểm Pwn. Nhóm STAR Labs SG đã giành được khoản tiền thưởng 25.000 USD và 5 điểm Master of Pwn ở vòng thứ hai bằng cách tiếp tục hack điện thoại Galaxy S23 bằng danh sách cấp phép đã nhập.
Nhóm NCC Group đã bẻ khóa thành công điện thoại Xiaomi Mi 13 Pro và nhận được khoản tiền thưởng 20.000 USD cùng 4 điểm Master of Pwn. Đội Viettel đã thành công trong việc thực hiện một cuộc tấn công chỉ sử dụng một lỗ hổng đối với điện thoại Xiaomi 13 Pro. Họ đã giành được 40.000 đô la tiền thưởng và 4 điểm Master of Pwn.
Kết thúc ,Team Viettel đã giành chiến thắng trong cuộc thi Pwn20wn 2023, kiếm được 180.000 USD và 30 điểm Master of Pwn
Các bạn có thể tham khảo thêm thông tin cuộc thi tại đây
www.zerodayinitiative.com
Các gã khổng lồ công nghệ như Google, Microsoft, Apple và Adobe đềutham gia hỗ trợ cho cuộc thi này. Đây cũng là nới có các hacker nổi tiếng nhất cạnh tranh trên thế giới với giải thưởng rất lớn.
Tại cuộc thi các chuyên gia nghiên cứu bảo mật đã khai thác 58 lỗ hổng zero-day (và nhiều lỗ hổng xung đột ) trong các cuộc hack vào các sản phẩm tiêu dùng, với tổng số tiền thưởng là 1,0385 triệu USD.
Các lỗ hổng zero-day được khai thác nhắm mục tiêu vào các thiết bị từ nhiều nhà cung cấp, bao gồm Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze và HP.
Sau khi các lỗ hổng zero-day này được báo cáo cho nhà cung cấp, nhà cung cấp có 120 ngày để tung ra bản vá cập nhật trước khi ZDI công khai lỗ hổng này. Trong cuộc thi, các chuyên gia nghiên cứu bảo mật cũng thực hiện xâm nhập vào các thiết bị di động IoT, bao gồm điện thoại di động (iPhone 14, Pixel 7, Samsung Galaxy S23 và Xiaomi 13 Pro), máy in, bộ định tuyến không dây, thiết bị NAS, trung tâm tự động hóa gia đình, hệ thống giám sát, loa thông minh và các thiết bị bao gồm Pixel Watch và Chromecast của Google, tất cả đều ở cấu hình mặc định và chạy các bản cập nhật bảo mật mới nhất.
Kết quả của cuộc thi cho thấy không có đội nào đăng ký hack Apple iPhone 14 và Google Pixel 7. Họ đã hack thành công vào Samsung Galaxy S23 tới 4 lần. Ngay trong ngày đầu tiên diễn ra cuộc thi, Samsung Galaxy S23 đã bị hack thành công 2 lần, trong đó nhóm Pentest Limited đã khai thác lỗ hổng xác thực đầu vào không chính xác để thực thi mã tùy ý, nhờ đó giành được tiền thưởng 50.000 USD và 5 Master. của điểm Pwn. Nhóm STAR Labs SG đã giành được khoản tiền thưởng 25.000 USD và 5 điểm Master of Pwn ở vòng thứ hai bằng cách tiếp tục hack điện thoại Galaxy S23 bằng danh sách cấp phép đã nhập.
Nhóm NCC Group đã bẻ khóa thành công điện thoại Xiaomi Mi 13 Pro và nhận được khoản tiền thưởng 20.000 USD cùng 4 điểm Master of Pwn. Đội Viettel đã thành công trong việc thực hiện một cuộc tấn công chỉ sử dụng một lỗ hổng đối với điện thoại Xiaomi 13 Pro. Họ đã giành được 40.000 đô la tiền thưởng và 4 điểm Master of Pwn.
Kết thúc ,Team Viettel đã giành chiến thắng trong cuộc thi Pwn20wn 2023, kiếm được 180.000 USD và 30 điểm Master of Pwn
Các bạn có thể tham khảo thêm thông tin cuộc thi tại đây
Zero Day Initiative — Blog
www.zerodayinitiative.com
