Pwn2Own 2023: Hacker knacken Smartphones, Drucker, IoT-Geräte

Die diesjährige Ausgabe des Hackerwettbewerbs Pwn2Own beschäftigt sich mit Produkten wie Druckern, Sicherheitskameras, Netzwerkspeichern, Routern und Smartphones von Herstellern wie Samsung, Xiaomi, Canon, Lexmark, Synology, Wyze und Qnap. Bereits am ersten Tag fielen den Teilnehmern unter anderem Drucker von Canon und Lexmark zum Opfer sowie Samsungs aktuelles Flaggschiff Galaxy S23.

Zur Eröffnung des Wettbewerbs, der im kanadischen Toronto ausgetragen wird, zeigte Binary Factory einen erfolgreichen Angriff auf die Überwachungskamera Synology BC500. Der Veranstalter Zero Day Initiative schüttete dafür eine Belohnung von 30.000 Dollar. Für zwei Schwachstellen im Western-Digital-NAS My Cloud Pro Series PR4100 gab es 40.000 Dollar.

Das Team Viettel verschaffte sich anschließend Zugang zu einem vollständig gepatchten Xiaomi 13 Pro, was ebenfalls mit 40.000 Dollar belohnt wurde. Die Hacker übernahmen aus der Ferne die Kontrolle über das Smartphone und installierten und starteten die Discord-App.

Weitere erfolgreiche Angriffe wurden gegen den Canon-Drucker ImageClass MF753Cdw, den intelligenten Lautsprecher Sonos Era 100, das NAS Qnap TS-464 und den Lexmark-Drucker CX331adwe demonstriert. Einige Geräte wurden am ersten Tag sogar mehrfach gehackt, darunter das Samsung Galaxy S23. Hier nutzten Mitarbeiter des Sicherheitsanbieters Pentest Limited eine unzureichende Prüfung von Eingaben, um den Browser Firefox zu installieren, was ihnen 50.000 Dollar einbrachte.

Am gestrigen zweiten Tag wurden erneut die Produkte von Sonos, Lexmark und Samsung gehackt. Außerdem fanden Teilnehmer Schwachstellen im TP-Link-Router Omada Gigabit sowie HPs Color Laserjet Pro MFP4301fdw. In der Kategorie SOHO-Smashup kombinierten Mitarbeiter von Sea Security einen Bug im Synology-Router RT6600ax mit drei Bugs im Qnap TS-464, um die Kontrolle über das NAS zu übernehmen.

Insgesamt schüttete die Zero Day Initiative an den ersten beiden Tagen Prämien in Höhe von 801.250 Dollar an die Teilnehmen aus. An den letzten beiden Tagen der Veranstaltung wollen Hacker weitere 17 Angriffe demonstrieren.