Над един милион долара бяха разпределени между етични хакери по време на тазгодишното издание на престижното състезание Pwn2Own Ireland 2025, проведено от 21 до 23 октомври в Корк. В рамките на тридневния форум бяха демонстрирани 73 неизвестни досега (zero-day) уязвимости, експлоатирани в реално време от участниците.

Категории и нови предизвикателства

Pwn2Own Ireland 2025 обхвана осем категории продукти, сред които принтери, мрежови сторидж системи, приложения за съобщения, устройства за „умен дом“, системи за видеонаблюдение, домашни рутери, флагмански смартфони (Apple iPhone 16, Samsung Galaxy S25 и Google Pixel 9), както и умни очила и слушалки на Meta (Ray-Ban Smart Glasses, Quest 3/3S).

Новост тази година беше въвеждането на атаки през USB портовете на заключени мобилни устройства – сценарий, който симулира физически достъп на нападател. В същото време класическите безжични вектори като Bluetooth, Wi-Fi и NFC останаха част от предизвикателствата.

Събитието беше спонсорирано от Meta, QNAP и Synology, а целта му – както винаги – е откриване и отговорно докладване на уязвимости, преди те да бъдат използвани от злонамерени хакери.

Големите победители

Титлата „Master of Pwn“ спечели екипът Summoning Team, който постигна 22 точки и спечели 187 500 долара. Те успяха да хакнат Samsung Galaxy S25, NAS устройства на Synology и QNAP, както и платформата Home Assistant Green.

Второто място зае Team ANHTUD с награда от 76 750 долара и 11,5 точки, а трети се класира Team Synactiv с 90 000 долара и 11 точки.

Как протече състезанието

Още в първия ден бяха демонстрирани 34 уникални zero-day експлойти, за които хакерите получиха 522 500 долара. На втория ден – още 22 уязвимости и 267 500 долара награди.

Кулминацията настъпи в последния ден, когато екипът Interrupt Labs компрометира Samsung Galaxy S25 чрез грешка в обработката на входни данни, като едновременно активира камерата и проследяването на местоположението. Тази демонстрация им донесе 5 точки и 50 000 долара.

Интерес предизвика и обявеното участие на Team Z3, които трябваше да демонстрират zero-click RCE уязвимост в WhatsApp, оценена на 1 милион долара. Те обаче се отказаха и вместо това предадоха откритието си на експертите от ZDI и инженерите на Meta за отговорно разкриване.

Ролята на Zero Day Initiative (ZDI)

Организаторът на Pwn2Own – Trend Micro’s Zero Day Initiative (ZDI) – има ключова роля в процеса на координирано разкриване. След състезанието производителите получават 90 дни, за да публикуват корекции, преди уязвимостите да бъдат публично разкрити.

Следваща спирка: Токио

Следващото издание на Pwn2Own ще се проведе през януари 2026 г. в Токио, в рамките на Automotive World. Фокусът ще бъде върху сигурността на автомобили, а Tesla отново ще бъде сред основните спонсори.