Pwn2Own多伦多比赛,是个非常刺激的黑客盛会。在2023年12月6日到12月8日,连续四天,黑客们在多伦多这个城市里展开了激烈的较量。第10届Pwn2Own把这个战场给搬到了这里,吸引了不少关注。这次比赛的目标,就是那些我们平常生活中常用的设备,比如智能手机、家庭自动化集线器、打印机、无线路由器和网络附加存储等。这些设备在比赛时都保持出厂默认配置,没有安装任何补丁和更新。这次比赛让大家看到了消费级设备安全的脆弱性。 12月6日,谷歌Pixel 6和苹果iPhone 13成了黑客们的重点目标。谷歌Pixel 6和苹果iPhone 13被设置了高额奖金池——成功攻破就能获得20万美元。如果攻击能获得内核级权限,还能额外再获得5万美元;如果攻击链条完整的话,单次挑战还可以达到250万美元。在第一天的比赛中,就有很多黑客发动了攻势。 三星Galaxy S22也没能幸免。在比赛第一天就被多次攻破。STAR实验室利用零日漏洞给三星Galaxy S22留下了一道伤疤。他们的攻击方式是通过输入验证攻击,给三星带来了5万美元的损失。Chim团队也展示了类似的漏洞利用技巧,让三星再次损失了25万美元。这两台S22都运行最新版Android并且安装了所有补丁,但还是挡不住黑客们的攻势。 12月7日,黑客们把目标转移到了办公和家庭网络上。Interrupt Labs针对Canon、Mikrotik、NETGEAR、TP-Link、Lexmark、Synology和HP等多款主流厂商设备展示了打印机和路由器零日漏洞攻击。第一天共有26个独特零日漏洞被成功利用,ZDI一口气拿出了40万美元奖金。 这次Pwn2Own多伦多比赛吸引了66个目标进行注册,所以主办方决定把活动延长到四天(12月6日到12月8日),让选手们有更多时间去挖掘漏洞。观众们在这个四天狂欢中见证了最高250万美元的奖金对决,也深刻体会到了日常联网设备在无补丁环境下的脆弱性。 这次比赛不仅仅是奖金对决的舞台,更重要的是给大家带来了安全思考。当黑客们收获战利品之后留下满地未修复漏洞时,Pwn2Own提醒着厂商系统默认配置下的安全漏洞才是消费级设备最大问题所在。普通用户要等待官方补丁才能确保安全,厂商也需要以“出厂即安全”为目标来应对市场和法规要求。