Il Pwn2Own Toronto 2022 si è concluso con un guadagno di 989.750 dollari per 63 exploit zero-day (e collisioni multiple di bug) che hanno colpito prodotti di consumo tra il 6 e il 9 dicembre. Durante questa competizione di hacking, 26 squadre e ricercatori di sicurezza hanno preso di mira dispositivi delle categorie telefoni cellulari, hub di automazione domestica, stampanti, router wireless, network-attached storage e altoparlanti intelligenti, tutti aggiornati e nella loro configurazione predefinita. Mentre nessuna squadra si è iscritta per violare gli smartphone Apple iPhone 13 e Google Pixel 6, i concorrenti hanno violato quattro volte un Samsung Galaxy S22 completamente patchato. Il team di STAR Labs è stato il primo a sfruttare uno zero-day nel dispositivo di punta di Samsung eseguendo un attacco improprio di convalida dell’input al terzo tentativo, guadagnando 50.000 dollari e 5 punti Master of Pwn. Un altro concorrente, noto come Chim, ha dimostrato un altro exploit di successo mirato al Samsung Galaxy S22 nel primo giorno del concorso.
I ricercatori di sicurezza di Interrupt Labs e Pentest Limited hanno violato il Galaxy S22 anche il secondo e il terzo giorno della competizione, con Pentest Limited che ha dimostrato il suo exploit zero-day in soli 55 secondi. Il Pwn2Own Toronto 2022 si è concluso oggi, nel quarto giorno di gara, con i concorrenti che hanno guadagnato 989.750 dollari per 63 exploit zero-day in diverse categorie. Nel corso della competizione, gli hacker hanno dimostrato con successo exploit mirati a bug zero-day in dispositivi di diversi fornitori, tra cui Canon, HP, Mikrotik, NETGEAR, Sonos, TP-Link, Lexmark, Synology, Ubiquiti, Western Digital, Mikrotik e HP. Dopo la segnalazione delle vulnerabilità zero-day sfruttate durante l’evento Pwn2Own, i fornitori hanno 120 giorni di tempo per rilasciare le patch prima che ZDI le renda pubbliche. Il team DEVCORE ha vinto il concorso, guadagnando 142.500 dollari e 18,5 punti Master of Pwn. Seguono in classifica il Team Viettel con 82.500 dollari e 16,5 punti e NCC Group EDG con 78.750 dollari e 15,5 punti.
