Кто взломал Galaxy S24? Pwn2Own обнажает слабые места десятков устройств

В Ирландии продолжается захватывающий конкурс Pwn2Own 2024, где участники демонстрируют мастерство в поиске уязвимостей в популярных устройствах. Второй день принёс участникам 51 zero-day уязвимость и суммарное вознаграждение в $358 625. Когда как за оба дня соревнований выплачено уже более 874 тысячи долларов.

Текущим лидером в борьбе за титул «Master of Pwn» и призовой фонд в 1 миллион долларов остаётся команда Viettel Cyber Security, однако впереди ещё два дня, и ситуация может измениться.

Одним из ярких моментов второго дня стал успех команды ANHTUD, участники которой использовали уязвимость переполнения стека для взлома принтера Canon imageCLASS MF656Cdw, заработав $10 000 и два очка. На другом фронте, специалист NCC Group Кен Гэннон сумел использовать пять багов, чтобы взломать смартфон Samsung Galaxy S24 и получить $50 000 и пять очков.

Команда Viettel Cyber Security также продемонстрировала мастерство, применив уязвимость типа Use-After-Free для взлома колонки Sonos Era 300 и заработав $30 000. Инженеры InfoSect аналогично взяли контроль над колонкой Sonos и пополнили счёт команды на $30 000.

Были и неудачи. Так, команда Rapid7 не смогла завершить взлом камеры Lorex 2K, а команда DEVCORE не успела завершить атаку на связку из маршрутизатора и принтера в рамках задания SOHO Smashup. Однако даже попытки, закончившиеся частичными успехами или столкновениями с ранее использованными багами, принесли участникам денежные награды и дополнительные очки.

Одним из впечатляющих достижений стал взлом NAS-устройства QNAP TS-464 командой Team Cluck с применением CLRF-инъекции, что принесло им $20 000. Аналогично успешным был взлом QNAP командой YingMuo с использованием SQL-инъекции.

Соревнования продолжаются, и на кону остаётся не только крупный призовой фонд, но и престижный титул «Master of Pwn». Впереди новые попытки, которые обещают ещё больше интриг и открытий.