據(jù)Security Affairs 消息，一年一度的世界級黑客大賽 Pwn2Own 2022于當(dāng)?shù)貢r間12月6日在多倫多正式開賽。比賽的第一天，三星最新款旗艦手機(jī)Galaxy S22就兩度被攻破。

三星 Galaxy S22運(yùn)行了最新版本的 Android 操作系統(tǒng)，并安裝了所有可用的安全更新，但還是招架不住參賽白帽黑客們的猛烈攻勢。STAR 實驗室團(tuán)隊率先利用該設(shè)備存在的零日漏洞成功執(zhí)行了不正確的輸入驗證攻擊，并因此獲得了5萬美元獎金和 5 個 Master of Pwn 積分。

隨后，另一位參賽者 Chim 也通過執(zhí)行不正確的輸入驗證攻擊攻破了三星 Galaxy S22，并獲得了2.5萬美元獎金和 5 個 Master of Pwn 積分。

無獨(dú)有偶，在去年舉辦的Pwn2Own上，三星當(dāng)時最新的旗艦手機(jī)Galaxy S21也同樣“被黑”。

根據(jù)Pwn2Own比賽規(guī)則，針對同一設(shè)備進(jìn)行挑戰(zhàn)的第一名獲勝者將獲得全額獎金，所有其他后續(xù)獲勝者將獲得 50% 的獎金，但都會獲得相同的Master of Pwn 積分。

Pwn2Own 2022已經(jīng)是連續(xù)第10屆圍繞針對消費(fèi)者級別的設(shè)備進(jìn)行，本屆大賽將圍繞手機(jī)、無線路由器、家庭自動化中心、打印機(jī)、智能揚(yáng)聲器、NAS設(shè)備、SOHO Smashup七大類別展開，獎池金額超過100萬美元。

在手機(jī)類別中，如果能攻破谷歌Pixel 6 和 蘋果 iPhone 13，將可最高獲得20萬美元獎金，如果攻擊以內(nèi)核級權(quán)限執(zhí)行，攻擊 谷歌和蘋果設(shè)備也可以獲得 5萬美元獎金。對于具有內(nèi)核級訪問權(quán)限的完整攻擊鏈，單次挑戰(zhàn)的最高獎勵總額可達(dá)25萬美元。

在本屆大賽中，SOHO SMASHUP作為新類別，安全創(chuàng)業(yè)公司戴夫寇爾（DEVCORE）已成為有史以來第一個成功利用兩種不同的基于堆棧的緩沖區(qū)溢出攻擊攻破 Mikrotik 路由器和佳能打印機(jī)的團(tuán)隊。該團(tuán)隊獲得了 10 萬美元獎金和 10 個 Master of Pwn 積分。