Дата публикации:Fri, 24 Oct 2025 13:19:43 +0300
Подведены итоги трёх дней соревнований Pwn2Own Ireland 2025, на которых были продемонстрированы 46 успешных атак с использованием 73 ранее неизвестных уязвимостей (0-day) в смартфонах, маршрутизаторах, устройствах для умного дома, принтерах, сетевых хранилищах и системах видеонаблюдения. При проведении атак использовались самые свежие прошивки и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию.
Суммарный размер выплаченных вознаграждений составил более миллиона долларов США ($1 024 750). Наиболее успешная команда Summoning Team сумела заработать на соревнованиях 187 тысяч долларов США. Обладатели второго места (ANHTUD) получили 76 тысяч долларов, а третьего (Synacktiv) - 90 тысяч долларов.
- Смартфон Samsung Galaxy S25: 2 успешных взлома c использованием шести разных уязвимостей, среди которых неправильная обработка входных данных. Выплачены две премии по $50 000. Умная розетка Amazon Smart plug: 1 успешный взлом c использованием трёх разных уязвимостей. Выплачена премия $20 000. Устройство домашней автоматизации Home Assistant Green: 6 успешных взломов. Выплачены премии $40 000, $20 000, $16 750, $15 000 и 2 x $12 500. Умный свет Phillips Hue Bridge: 10 успешных взломов. Выплачены премии $40 000, 3 x $20 000, $17 500, $16 000, 2 x $13 500, 2 x $10 000. Умные колонки Sonos Era 300: 1 успешный взлом c использованием уязвимости, связанной с переполнением буфера. Выплачена премия $50 000. Система видеонаблюдения Ubiquiti AI Pro: 1 успешный взлом. Выплачена премия $30 000. Принтер HP DeskJet 2855e: 1 успешный взлом c использованием уязвимостей, связанных с переполнением буфера. Выплачена премия $20 000. Принтер Canon imageCLASS MF654Cdw: 7 успешных взлома c использованием уязвимостей, связанных с переполнением буфера. Выплачены премии $20000, 6 x $10000, $5000 Принтер Lexmark CX532adw: 4 успешных взлома c использованием уязвимостей, связанных с переполнением буфера и неправильной обработкой типов (Type Confusion). Выплачены премии $20 000, 2 x $10 000, $7 500. Сетевое хранилище Synology ActiveProtect Appliance DP320: 1 успешный взлом c использованием двух разных уязвимостей. Выплачена премия $50 000. Сетевое хранилище Synology BeeStation Plus: 1 успешный взлом c использованием уязвимостей, связанных с переполнением буфера. Выплачена премия $40 000. Сетевое хранилище Synology DiskStation DS925+: 2 успешных взлома. Выплачены премии $40 000 и $20 000. SOHO-инфраструктура на базе маршрутизатора QNAP Qhora-322 и сетевого хранилища QNAP TS-453E: Взлом с использованием 8 разных уязвимостей. Выплачена премия в $100 000. Сетевое хранилище QNAP TS-453E: 7 взломов с использованием подстановки команд, ошибки форматирования строки и жёстко прошитых параметров аутентификации. Выплачены премии в $40 000, 2 x $30 000, $20 000, 2 x $10 000. IP-камера Synology CC400W: 1 успешный взлом. Выплачена премия в $15 000
Невостребованной оказалась номинация по взлому мессенджера WhatsApp, за выявление в котором ошибки, позволяющей удалённо выполнить код без действия пользователя (0-click), была заявлена премия в миллион долларов; за удалённо эксплуатируемую уязвимость в WhatsApp, требующую действий пользователя (1-click) - 500 тысяч долларов; за уязвимость, приводящую к захвату учётной записи - $150 тысяч; за получение удалённого доступа к данным пользователя, микрофону или камере - $130 тысяч. Также не нашлось участников, способный продемонстрировать взломы смартфонов Google Pixel 9 и Apple iPhone 16 (премия 300 тысяч долларов) и умных очков Meta Ray-Ban (премия $150 тысяч).
В каких именно компонентах проблемы пока не сообщается. В соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.
Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=64111