Ransomware
Pwn2Own: 1 Million Dollar für erfolgreiche Hacks
Beim mit Spannung erwarteten Pwn2Own-Wettbewerb der Zero Day Initiative (ZDI) in Irland erhielten die Teilnehmer insgesamt Prämien von mehr als 1 Million Dollar für 73 einzigartige Zero Day-Bugs – mit Highlights auch ohne Zero Click-WhatsApp-Bug.
Save to Folio
Der von der Zero Day Initiative (ZDI) von Trend Micro seit nunmehr fast zwanzig Jahren veranstaltete Pwn2Own-Wettbewerb der White Hacker fand letzte Woche in Irland statt und wurde in acht Kategorien ausgetragen, die Smartphones (Apple iPhone 16, Samsung Galaxy S25 und Google Pixel 9), Messaging-Apps, Smart-Home-Geräte, Drucker, Heimnetzwerkgeräte, Netzwerkspeichersysteme, Überwachungsgeräte und Wearable-Technologie beinhalten. In der Kategorie Mobile wurde zudem der Angriffsvektor um USB-Ports für Smartphones erweitert, zusätzlich zu den traditionellen drahtlosen Protokollen wie Bluetooth, WLAN und NFC.
Unter anderen war auch Meta Co-Sponsor der Veranstaltung, und das Highlight waren die als Prämie ausgelobten 1 Million Dollar für einen Zero Click-WhatsApp-Bug, der zur Codeausführung führt. Für andere WhatsApp-Exploits gibt es kleinere Geldprämien.
Gewinner und Master of Pwn ist das Summoning Team mit 22 Punkten und fast 190.000 Dollar Preisgeld.
Bereits der erste Tag brachte ein Highlight, denn das Team DDOS erhielt die höchste Prämie von 100.000 Dollar für ein Exploit über eine acht Zero Days-Fehlerkette für den QNAP Qhora-322 Router und ein QNAP TS-453E NAS Gerät.
Das Summoning Team konnte sich bereits am ersten Tag nach zwei erfolgreichen Hacking-Versuchen mit einer Exploit-Kette von zwei Zero Days gegen Synology ActiveProtect Appliance DP320 und Synology BeeStation Plus an die Spitze des Pwn-Leaderboards setzen. Am zweiten Tag war das Team mit einer Exploit-Kette aus fünf Sicherheitsfehlern gegen Samsung Galaxy S25 wieder erfolgreich.
Der vorher viel beworbene Agendapunkt der Veranstaltung mit einem ausgelobten Preis von 1 Mio. Dollar sollte die Vorführung eines Exploits für die Zero-Click Remote-Code-Ausführung gegen WhatsApp werden. Ein Forscher namens Eugene vom Team Z3 hatte sich dafür angemeldet. Doch im letzten Moment zog das Team Z3 seinen WhatsApp-Beitrag zurück mit der Begründung, die Forschungsergebnisse seien noch nicht reif für eine öffentliche Präsentation waren.
Die ZDI teilte jedoch mit: „Meta ist weiterhin daran interessiert, diese Forschungsergebnisse zu erhalten, und Team Z3 legt den ZDI-Analysten seine Ergebnisse vor, damit wir eine erste Bewertung vornehmen können, bevor sie an die Meta-Ingenieure weitergegeben werden.“ Und weiter: „Wir sind zwar enttäuscht, dass wir die Demo nicht öffentlich auf der Pwn2Own-Bühne zeigen können, freuen uns aber, die koordinierte Offenlegung gegenüber Meta zu ermöglichen, damit das Unternehmen die Möglichkeit hat, Probleme zu beheben, sollten sie sich als berechtigt erweisen.“
Ein Höhepunkt des letzten Tages war der erfolgreiche Hack des Samsung Galaxy S25 über einen „Improper Input Validation“-Fehler durch das Team Interrupt Labs, bei dem sie auch die Standortverfolgung und die Kamera aktivierten. Dafür gab es fünf „Master of Pwn“-Punkte sowie 50.000 Dollar Preisgeld.
Eine Zusammenfassung der Veranstaltung können Sie auch auf YouTube ansehen.
Die ZDI übernimmt wie jedes Mal die verantwortungsvolle Kommunikation der Schwachstellen an die entsprechenden Hersteller. Diese haben dann 90 Tage Zeit, ein Sicherheits-Update dafür zu veröffentlichen, bevor die Initiative mit den Schwachstellen an die Öffentlichkeit geht.
Im Januar 2026 veranstaltet die ZDI im Rahmen der Automotive World in Tokio zum dritten Mal den Pwn2Own Automotive.