Oltre 1 milione di dollari in premi al Pwn2Own Toronto: illesi iPhone e Google Pixel

Oltre 1 milione di dollari in premi al Pwn2Own Toronto: illesi iPhone e Google Pixel

Si è conclusa la competizione di hacking Pwn2Own Toronto 2023, con i ricercatori di sicurezza che si sono aggiudicati premi per oltre 1 milione di dollari grazie alla dimostrazione di 58 exploit zero-day. Obiettivo degli hacker i dispositivi mobili e IoT di aziende come Samsung, Xiaomi, Western Digital e altre.

di pubblicata il , alle 12:01 nel canale Sicurezza
 

Bottino molto ricco per i ricercatori di sicurezza partecipanti alla competizione di hacking Pwn2Own Toronto 2023. In quattro giornate di gare, gli hacker hanno dimostrato la possibilità di sfruttare 58 vulnerabilità zero-day, portando a casa premi per oltre 1 milione di dollari messi in palio dagli organizzatori.


Fonte: ZDI

L'evento, organizzato come di consueto dalla Zero Day Initiative (ZDI) di Trend Micro, ha visto i partecipanti mettere nel mirino diversi dispositivi mobili e IoT per la smart home e non solo, tutti configurati con le impostazioni di default e aggiornati con le ultime patch di sicurezza disponibili.

1 milione di dollari in premi al Pwn2Own Toronto 2023

Tra i dispositivi inclusi nella gara citiamo smartphone come iPhone 14, Pixel 7, Galaxy S23 e Xiaomi 13 Pro, oltre a stampanti, router wireless, NAS, hub domotici, telecamere di sicurezza, altoparlanti intelligenti e dispositivi Google come Pixel Watch e Chromecast.

Nonostante la presenza di iPhone 14 e Pixel 7 tra i possibili bersagli, nessun team si è cimentato nell'hacking di questi dispositivi. Diversamente, Samsung Galaxy S23 è stato violato per ben 4 volte da altrettanti team di ricerca. Il primo attacco è arrivato dal team Pentest Limited, che ha sfruttato una vulnerabilità nella convalida degli input per ottenere l'esecuzione di codice arbitrario. Successivamente, nel secondo round di attacchi allo stesso device, il team SG di STAR Labs ha "bucato" il top di gamma Samsung sfruttando un problema simile.

La stessa dinamica è stata sfruttata anche negli attacchi portati da Interrupt Labs e Team ToChim il secondo giorno. Guardando alla classifica finale, il team Viettel si è aggiudicato il titolo di campione portando a casa 180 mila dollari in premi e 30 punti. Sul podio anche il Team Orca di Sea Security e i team DEVCORE Intern e Interrupt Labs.

In totale i ricercatori hanno dimostrato 58 diversi attacchi zero-day contro prodotti di aziende quali Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze e altre. Ora i vendor avranno 120 giorni di tempo per rilasciare patch di sicurezza prima che i dettagli tecnici vengano divulgati pubblicamente. Un bottino simile era stato raccolto anche durante la competizione Pwn2Own di Vancouver dello scorso marzo, con 27 zero-day sfruttati e oltre 1 milione di dollari assegnati.

I migliori sconti su Amazon oggi
-18%

Apple iPhone 16 128 GB: Telefono 5G con Controllo fotocamera, chip A18 e tanta autonomia in più. Compatibile con AirPods; Blu oltremare

979.00 799.00 Compra ora
-21%

Nuovo Amazon Kindle Paperwhite (16 GB) | Il nostro Kindle più veloce di sempre, nuovo schermo antiriflesso da 7’’, la batteria dura settimane | Con pubblicità | Nero

169.00 134.00 Compra ora
-21%

Nothing Phone (3a) 256 GB - smartphone con fotocamera anteriora da 32 MP, Ultra zoom 30x, ricarica rapida a 50W e 6.77" Display AMOLED flessibile FHD+ - Bianco

399.00 Compra ora
8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Mo4230 Ottobre 2023, 13:49 #1
Originariamente inviato da: Skogafoss
Questi Hacking sono preparati a tavolino.
Come ogni cassaforte, serve solo tempo per capire come aprirla.
Dopo, davanti a un bel gruzzolo di soldi, ti bastano 5 minuti.
Qua è uguale. Hanno preso come bersagli dispositivi facili da bucare semplicemente perché ci hanno provato prima e con risultati certi e veloci.
Probabilmente anche gli Iphone e i Google Pixel hanno le loro vulnerabilità. Ma non è detto che sia facile trovarle e sopratutto, che poco prima o durante il Pwn20wn, non vengano rilasciati dei FIX che vanificano tutto quello fatto da vari Hacker fino al giorno del Pwn.
Al solito, è solo una questione di costi. Se uno Xiaomi costa la metà di un iPhone oppure di un Google Pixel, viene facile pensare che anche a livello di aggiornamenti di sicurezza sia inferiore per un semplice fatto di risorse che vengono messe a disposizione e che sono strettamente legate ai guadagni.


Quoto tutto in pieno. Queste competizioni sono solo buffonate.
Ginopilot30 Ottobre 2023, 14:12 #2
Originariamente inviato da: Skogafoss
Questi Hacking sono preparati a tavolino.
Come ogni cassaforte, serve solo tempo per capire come aprirla.
Dopo, davanti a un bel gruzzolo di soldi, ti bastano 5 minuti.
Qua è uguale. Hanno preso come bersagli dispositivi facili da bucare semplicemente perché ci hanno provato prima e con risultati certi e veloci.
Probabilmente anche gli Iphone e i Google Pixel hanno le loro vulnerabilità. Ma non è detto che sia facile trovarle e sopratutto, che poco prima o durante il Pwn20wn, non vengano rilasciati dei FIX che vanificano tutto quello fatto da vari Hacker fino al giorno del Pwn.
Al solito, è solo una questione di costi. Se uno Xiaomi costa la metà di un iPhone oppure di un Google Pixel, viene facile pensare che anche a livello di aggiornamenti di sicurezza sia inferiore per un semplice fatto di risorse che vengono messe a disposizione e che sono strettamente legate ai guadagni.


In sostanza è confermato che iphone e pixel siano piu' sicuri degli altri telefoni, proprio per quanto sopra.
DjLode30 Ottobre 2023, 14:26 #3
Originariamente inviato da: Skogafoss
Questi Hacking sono preparati a tavolino.


Originariamente inviato da: Mo42
Quoto tutto in pieno. Queste competizioni sono solo buffonate.


Qualcosa mi dice che avete uno degli smartphone bucati
Mo4230 Ottobre 2023, 14:54 #4
Originariamente inviato da: DjLode
Qualcosa mi dice che avete uno degli smartphone bucati


Non so Skogafoss, ma nel mio caso no.
h.rorschach30 Ottobre 2023, 15:07 #5
Originariamente inviato da: Skogafoss
Questi Hacking sono preparati a tavolino.
Come ogni cassaforte, serve solo tempo per capire come aprirla.
Dopo, davanti a un bel gruzzolo di soldi, ti bastano 5 minuti.
Qua è uguale. Hanno preso come bersagli dispositivi facili da bucare semplicemente perché ci hanno provato prima e con risultati certi e veloci.
Probabilmente anche gli Iphone e i Google Pixel hanno le loro vulnerabilità. Ma non è detto che sia facile trovarle e sopratutto, che poco prima o durante il Pwn20wn, non vengano rilasciati dei FIX che vanificano tutto quello fatto da vari Hacker fino al giorno del Pwn.
Al solito, è solo una questione di costi. Se uno Xiaomi costa la metà di un iPhone oppure di un Google Pixel, viene facile pensare che anche a livello di aggiornamenti di sicurezza sia inferiore per un semplice fatto di risorse che vengono messe a disposizione e che sono strettamente legate ai guadagni.


Io che lavoro nel campo ti informo che i bersagli sono comunicati molto prima dell'"evento" e che le squadre hanno tutto il tempo necessario per trovare gli exploit che vogliono. La cerimonia è, appunto, una cerimonia. Le squadre "partecipano" nelle ultime ore di hacking, poi vi sono le premiazioni con i premi in denaro. Se non sono stati trovati exploit per Pixel 8 ed iPhone significa che non ne sono stati trovati nemmeno nei giorni / settimane precedenti l'evento pubblico.
metrino30 Ottobre 2023, 15:09 #6
secondo me non sono buffonate. è presumibile che certi attacchi che vanno a buon fine sono frutto di studio di mesi. tuttavia è anche vero che quando arrivano lì fanno i soldini, non lo fanno per azioni illegali e non lo fanno gratis. Ed è anche vero che le aziende ne traggono beneficio:
da una parte iphone e pixel hanno implicitamente una pubblicità di smartphone inviolabili, dall'altra le aziende hanno un riferimento serio su quali siano le falle nei propri software. Il pincopallino che ti manda una PEC per dire che hai una falla non verrà mai creduto, ce ne sono a decine e solo 1/100 è una segnalazione vera.
Così invece ci guadagnano tutti.
Mo4230 Ottobre 2023, 16:39 #7
Originariamente inviato da: metrino
secondo me non sono buffonate. è presumibile che certi attacchi che vanno a buon fine sono frutto di studio di mesi. tuttavia è anche vero che quando arrivano lì fanno i soldini, non lo fanno per azioni illegali e non lo fanno gratis. Ed è anche vero che le aziende ne traggono beneficio:
da una parte iphone e pixel hanno implicitamente una pubblicità di smartphone inviolabili, dall'altra le aziende hanno un riferimento serio su quali siano le falle nei propri software. Il pincopallino che ti manda una PEC per dire che hai una falla non verrà mai creduto, ce ne sono a decine e solo 1/100 è una segnalazione vera.
Così invece ci guadagnano tutti.


Ogni pubblicità implicita è pubblicità voluta e strapagata.
Nulla accade per caso, soprattutto quando va a ledere la credibilità della concorrenza.
Melandir31 Ottobre 2023, 12:37 #8
Originariamente inviato da: Skogafoss
Probabilmente anche gli Iphone e i Google Pixel hanno le loro vulnerabilità. Ma non è detto che sia facile trovarle e sopratutto, che poco prima o durante il Pwn20wn, non vengano rilasciati dei FIX che vanificano tutto quello fatto da vari Hacker fino al giorno del Pwn.


Se hai per le mani una falla zero day su iphone e Pixel fai molti più soldi vendendola sul mercato nero che non a queste competizioni, alcune falle le comprano indirettamente i governi per usarle per spionaggio e contro oppositori.

Questa è una mia opinione personale.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^