Der Hacking-Wettbewerb Pwn2Own Toronto 2023 ist zu Ende gegangen, und die Zero Day Initiative (ZDI) von Trend Micro vergab Preisgelder in Höhe von 1.038.500 Dollar für 58 einzelne Zero Days im Bereich mobiler und IoT-Verbraucherprodukte.
Die vollständige Liste der für das Hacking zur Verfügung gestellten Geräte umfasste Mobiltelefone (Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 und Xiaomi 13 Pro), Drucker, drahtlose Router, NAS-Geräte (Network-Attached Storage), Hausautomatisierungs-Hubs, intelligente Lautsprecher sowie die Pixel Watch und Chromecast Devices von Google, alle in ihrer Standardkonfiguration und mit den neuesten Sicherheitsupdates. Neu hinzugekommen ist die Kategorie der Überwachungssysteme.
Aktueller „Master of Pwn“ wurde das Team Viettel, das 180.000 Dollar und 30 Punkte sammeln konnte. Unter anderem gelang es, einen Stack-basierten Buffer-Overflow-Angriff sowohl gegen den HP Color Laserjet Pro MFP durchzuführen als auch gegen den Lexmark CX331adwe. Auch war das Team in der Lage, einen Heap-basierten und einen Stack-basierten Buffer Overflow gegen den TP-Link Omada Gigabit Router und den Canon imageCLASS MF753Cdw starten. Des Weiteren hatte ein Single-Bug-Angriff auf das Xiaomi 13 Pro Erfolg.
Kein Team versuchte das Apple iPhone 14 und das Google Pixel 7 zu hacken, doch knackten die Teilnehmer mehrere Male ein vollständig gepatchtes Samsung Galaxy S23. Das erste Mal gelang es Pentest Limited eine Zero-Day-Schwachstelle im Gerät aufzuzeigen. Das Team nutzte eine fehlerhafte Eingabevalidierung aus, um Code ausführen (Ergebnis: 50.000 Dollar und fünf Master of Pwn-Punkte.
Auch STAR Labs SG gelang der Hack des Samsung-Flaggschiff. Dafür gab es 25.000 Dollar (halber Preis für die zweite Runde, in der dasselbe Gerät angegriffen wurde) und fünf Master of Pwn-Punkte. Schließlich konnten noch Interrupt Labs sowie ToChim eigene Befehle auf dem Smartphone ausführen. Ein weiteres Team, Orca of Sea Security war ebenfalls erfolgreich, doch da der ausgenutzte Fehler bereits bekannt war, gab es dafür lediglich 6.250 Dollar und 1,25 Master of Pwn-Punkte dafür.
In der neuen Kategorie der Überwachungssysteme konnte Binary Factory bereits am ersten Tag ihren Stack-basierten Buffer Overflow gegen Synology BC500 auslösen (30.000 Dollar, drei Master of Pwn-Punkte). Auch Synacktivs Angriff auf Synology BC500 über eine dreier Bug-Kette gelang genauso wie der Hack von Compass Security. Auch alle weiteren Versuche (Bugscale, SAFA ex Teamt5, Sina Kheirkhahn, Interrupt Labs) waren mit Erfolg gekrönt.
Claroty hatte mit einem so genannten SOHO Smashup Erfolg, der von einem TPLink Router zur Synology BC500 Überwachungskamera führte.
Auch die Einbruchsversuche in Cam v3 gelangen.
Im nächsten Schritt werden die gefundenen Schwachstellen den Anbietern mitgeteilt, die nun 90 Tage Zeit haben, einen Patch zu erstellen. Wir bedanken uns bei den Teilnehmern und Anbietern für ihre Teilnahme und besonders bei Google und Synology für das gemeinsame Sponsoring des Wettbewerbs.