據(jù)Security Affairs 消息，一年一度的世界級(jí)黑客大賽 Pwn2Own 2022于當(dāng)?shù)貢r(shí)間12月6日在多倫多正式開(kāi)賽。比賽的第一天，三星最新款旗艦手機(jī)Galaxy S22就兩度被攻破。

三星 Galaxy S22運(yùn)行了最新版本的 Android 操作系統(tǒng)，并安裝了所有可用的安全更新，但還是招架不住參賽白帽黑客們的猛烈攻勢(shì)。STAR 實(shí)驗(yàn)室團(tuán)隊(duì)率先利用該設(shè)備存在的零日漏洞成功執(zhí)行了不正確的輸入驗(yàn)證攻擊，并因此獲得了5萬(wàn)美元獎(jiǎng)金和 5 個(gè) Master of Pwn 積分。

隨后，另一位參賽者 Chim 也通過(guò)執(zhí)行不正確的輸入驗(yàn)證攻擊攻破了三星 Galaxy S22，并獲得了2.5萬(wàn)美元獎(jiǎng)金和 5 個(gè) Master of Pwn 積分。

無(wú)獨(dú)有偶，在去年舉辦的Pwn2Own上，三星當(dāng)時(shí)最新的旗艦手機(jī)Galaxy S21也同樣“被黑”。

根據(jù)Pwn2Own比賽規(guī)則，針對(duì)同一設(shè)備進(jìn)行挑戰(zhàn)的第一名獲勝者將獲得全額獎(jiǎng)金，所有其他后續(xù)獲勝者將獲得 50% 的獎(jiǎng)金，但都會(huì)獲得相同的Master of Pwn 積分。

Pwn2Own 2022已經(jīng)是連續(xù)第10屆圍繞針對(duì)消費(fèi)者級(jí)別的設(shè)備進(jìn)行，本屆大賽將圍繞手機(jī)、無(wú)線(xiàn)路由器、家庭自動(dòng)化中心、打印機(jī)、智能揚(yáng)聲器、NAS設(shè)備、SOHO Smashup七大類(lèi)別展開(kāi)，獎(jiǎng)池金額超過(guò)100萬(wàn)美元。

在手機(jī)類(lèi)別中，如果能攻破谷歌Pixel 6 和 蘋(píng)果 iPhone 13，將可最高獲得20萬(wàn)美元獎(jiǎng)金，如果攻擊以?xún)?nèi)核級(jí)權(quán)限執(zhí)行，攻擊 谷歌和蘋(píng)果設(shè)備也可以獲得 5萬(wàn)美元獎(jiǎng)金。對(duì)于具有內(nèi)核級(jí)訪(fǎng)問(wèn)權(quán)限的完整攻擊鏈，單次挑戰(zhàn)的最高獎(jiǎng)勵(lì)總額可達(dá)25萬(wàn)美元。

在本屆大賽中，SOHO SMASHUP作為新類(lèi)別，安全創(chuàng)業(yè)公司戴夫寇爾（DEVCORE）已成為有史以來(lái)第一個(gè)成功利用兩種不同的基于堆棧的緩沖區(qū)溢出攻擊攻破 Mikrotik 路由器和佳能打印機(jī)的團(tuán)隊(duì)。該團(tuán)隊(duì)獲得了 10 萬(wàn)美元獎(jiǎng)金和 10 個(gè) Master of Pwn 積分。