Garching bei München / Toronto, 31. Oktober 2023 – Trend Micro, einer der weltweit führenden Anbieter von Cybersicherheitslösungen, gibt die Ergebnisse des aktuellen Pwn2Own-Wettbewerbs seiner Zero Day Initiative bekannt. Die Teilnehmer des Hacking-Wettbewerbs, der von 24.-27. Oktober im kanadischen Toronto stattfand, entdeckten insgesamt 58 bisher unbekannte Zero-Day-Schwachstellen. Lücken im Bereich mobiler und IoT-Verbraucherprodukte standen im Mittelpunkt der Hacking-Veranstaltung,

Gleich mehrere Teams erzielten beim jährlich in Toronto ausgetragenen Wettbewerb besondere Erfolge beim Smartphone-Hack des Samsung-Flaggschiffs Galaxy S23. So konnte das Hacking-Team Pentest Limited durch eine Improper-Input-Validation-Schwachstelle Befehle auf dem Gerät ausführen und wurde mit knapp 47.000 Euro dafür belohnt. Aber auch das Team Star Labs SG führte eine erfolgreiche Attacke durch und konnte ein Video auf dem Gerät abspielen. Insgesamt waren die Teilnehmer in der Lage, das Samsung Galaxy S23 an den vier Veranstaltungstagen ganze sechs Mal zu hacken.

Weitere Höhepunkte des Wettbewerbs:

• Team Viettel führte, für ein Preisgeld von knapp 38.000 Euro, einen Single-Bug-Angriff gegen das Xiaomi 13 Pro durch.
• Team Binary Factory führte einen Stack-basierten Buffer-Overflow-Angriff gegen Synology BC500 aus und gewann ein Preisgeld von etwa 28.000 Euro.
• Team Pentest Limited griff mit einer 2-Bug-Chain die WD My Cloud Pro Series PR4100 an und erhielt knapp 37.000 Euro Preisgeld.
• Nguyen Quoc Viet wurde für einen Stack-basierten Buffer-Overflow-Angriff gegen den HP Color Laserjet Pro MFP mit ca. 18.000 Euro belohnt.
• Team Synacktiv führte einen Heap-basierten Buffer-Overflow gegen die Wyze Cam v3 für ein Preisgeld von 14.000 Euro aus.

Der Gesamtsieger als „Master of Pwn“ wurde Team Viettel. Die fünf besten Teilnehmer wurden mit diesen Preisgeldern belohnt:

1. Team Viettel (30 Punkte) – 180.000 US-Dollar
2. Team Orca (Sea Security) (17,25 Punkte) – ca. 116.000 USD
3. DEVCORE Intern und Interrupt Labs (beide 10 Punkte) – je 50.000 USD
4. Chris Anastasio (9 Punkte) – 100.000 USD
5. Pentest Ltd. (9 Punkte) – 90.000 USD

„Trend Micros Zero Day Initiative deckt Cyberrisiken auf, noch bevor eine Ausnutzung überhaupt in Betracht gezogen werden kann“, sagt Kevin Simzer, COO bei Trend Micro. „Wir sind sehr stolz darauf, dass wir gemeinsam mit unseren Sponsoren Google und Synology durch unsere Veranstaltung die Sicherheitsstandards für die gesamte Branche anheben. Wir sind uns alle einig, dass dieser proaktive Ansatz entscheidend ist, um den Cyberkriminellen weiterhin einen Schritt voraus zu sein.“

Pwn2Own fand zum sechzehnten Mal vom 24. bis 27. Oktober 2023 in Toronto, Kanada statt. Der nächste Pwn2Own-Wettbewerb, speziell für die Automobilbranche, findet im Januar 2024 in Tokio statt und der nächste reguläre Pwn2Own wird im März 2024 in Vancouver ausgetragen.

Weitere Informationen

Einen Überblick über den Wettbewerb finden Sie auch hier:
https://www.trendmicro.com/de_de/research/23/k/pwn2own-2023-verbraucherprodukte-im-visier.html

Die vollständigen Ergebnisse finden Sie hier in englischer Sprache:

https://www.zerodayinitiative.com/blog         

Eindrücke vom Wettbewerb in Toronto können Sie hier sehen:

https://www.youtube.com/watch?v=bQ7jfLpMEl0&t=1s