Einmal im Jahr treffen sich auf der Pwn2Own in Toronto die besten Hacker, um aktuelle Unterhaltungselektronik auf Schwachstellen zu testen. Schon am ersten Tag der Veranstaltung konnten die IT-Sicherheitsexperten das aktuelle Samsung Galaxy S23 gleich in zwei Fällen übernehmen.
50.000 US-Dollar für erste Lücke
Zuerst konnte Pentest Limited eine Zero-Day-Lücke für Samsungs aktuelles Flaggschiff Galaxy S23 präsentieren. Dabei wurde das Smartphone durch regelwidrige Eingaben, die nicht korrekt überprüft wurden, dazu überredet, unberechtigten Code auszuführen. Damit verdient sich das Team neben dem Preisgeld von 50.000 US-Dollar auch fünf "Master of Pwn"-Punkte.
Zweite Schwachstelle bringt 25.000 US-Dollar
Danach folgte ein erfolgreicher Hacking-Angriff des STAR Labs SG Teams: Auch hier wurden ungeprüfte Eingaben dazu genutzt, um sich Zugriff auf das S23-Smartphone zu verschaffen. Da auf dem Event bereits ein anderer Hacking-Versuch mit dem S23 erfolgte, wurde das Preisgeld auf 25.000 US-Dollar reduziert. Auch hier gab es zusätzlich noch fünf "Master of Pwn"-Punkte.
Eine Million US-Dollar Preisgeld
Die Punkte entscheiden am Ende darüber, wer den Titel "Master of Pwn" für sich beanspruchen darf. Die Reihenfolge der Hacking-Versuche wird zufällig bestimmt, alle Teams können jedoch gleich viele Punkte erhalten, wenn auch das Preisgeld für den zweiten Erfolg nur halb so hoch ausfällt. Insgesamt steht über eine Million US-Dollar an Preisgeld zur Verfügung. Schon am ersten Tag der Veranstaltung wurden für 23 erfolgreich entdeckte Sicherheitslücken über 438.000 US-Dollar ausgeschüttet.
Smartphones, NAS und smarte Lautsprecher
Neben den beiden Lücken auf dem Galaxy S23 wurden auf der Pwn2Own 2023 Schwachstellen für das Xiaomi 13 Pro, das iPhone 14 und Pixel 7 enthüllt. Auch Drucker, smarte Lautsprecher, Netzwerkspeicher und Überwachungskameras von den bekannten Herstellern Western Digital, QNAP, Synology, Canon, Lexmark und Sonos wurden erfolgreich gehackt. (PC-Welt)