在今年於加拿大多倫多舉辦的 Pwn2Own 2023 駭客競賽上,安全研究員在第一天就兩度成功攻破 Samsung 的旗艦智慧型手機 Galaxy S23。
Pentest Limited 是首家利用 Galaxy S23 的不當輸入驗證漏洞取得代碼執行能力的公司,賺得了 5 萬美元和 5 個 Master of Pwn 點數。而 STAR Labs SG 團隊也利用一個過於寬鬆的允許輸入列表成功攻破 Galaxy S23,賺得了 2.5 萬美元(因為是針對同一款裝置的第二輪攻擊,所以只有半數獎金)和 5 個 Master of Pwn 點數。
比賽主辦方指出,雖然每個類別只有第一個成功的示範會獲得全部的現金獎勵,但每一個成功的參賽者都能獲得全部的 Master of Pwn 點數。由於攻擊嘗試的順序是隨機抽取的,因此即使賺取較少的現金獎勵,還是有機會贏得 Master of Pwn 的稱號。
根據 Pwn2Own 2023 的比賽規則,所有被駭裝置都使用了最新的作業系統版本,並安裝了所有安全更新。在比賽的第一天,ZDI 已經頒發了總計 438,750 美元的獎金,以表彰成功展示了 23 個 0-day 漏洞的參賽者。
參加者還展示了針對小米13 Pro 手機、Western Digital、QNAP、Synology、Canon、Lexmark 和 Sonos 等公司的產品進行攻擊,種品包括打印機、智能音箱、NAS和監控攝像頭等等。
