据安全事务部消息,一年一度的世界级黑客大赛Pwn2Own2022于当地时间12月6日在多伦多正式拉开帷幕。在比赛的第一天,三星最新的旗舰手机GalaxyS22就两次遭到入侵。三星GalaxyS22运行了最新版本的Android操作系统,并安装了所有可用的安全更新,但它仍然无法抵挡参与白帽黑客的攻击。STARLabs团队获得了50,000美元和5个MasterofPwn积分,因为他们是第一个使用设备中的零日漏洞成功执行错误输入验证攻击的团队。随后,另一名参赛者Chim也通过执行不正确的输入验证攻击攻破了三星GalaxyS22,并赢得了25,000美元的奖金和5个MasterofPwn积分。无独有偶,在去年举办的Pwn2Own上,三星最新旗舰手机GalaxyS21也被“黑”了。根据Pwn2Own比赛规则,同一设备挑战的第一名获胜者将获得全额奖金,所有其他后续获胜者将获得50%的奖金,但都将获得相同的MasterofPwn积分。Pwn2Own2022已连续第10年举办,聚焦消费级设备。今年的比赛将集中在七个类别:手机、无线路由器、家庭自动化中心、打印机、智能扬声器、NAS设备和SOHOSmashup。奖池超过100万美元。在手机类别中,谷歌Pixel6和苹果iPhone13的漏洞将获得高达20万美元的奖励,如果以内核级权限执行攻击,谷歌和苹果设备也可以获得5万美元的奖励。对于具有内核级访问权限的完整攻击链,单次挑战的总奖励最高可达25万美元。在今年的比赛中,SOHOSMASHUP是一个新类别,安全创业公司DEVCORE成为有史以来第一个成功利用两种不同的基于堆栈的缓冲区溢出攻击来危害Mikrotik路由器和佳能打印机的团队。该团队获得了100,000美元和10个MasterofPwn积分。
