Trong ngày đầu tiên của sự kiện Pwn2Own 2023 diễn ra vào tháng 03/2023, chiếc điện thoại Samsung Galaxy S23 đã bị hack thành công tới 2 lần bởi 2 đội ngũ khác nhau.
Đội Pentest Limited là những người đầu tiên khai thác thành công lỗ hổng xác thực đầu vào không chính xác để chạy mã trên Galaxy S23. Họ đã nhận được phần thưởng 50.000 USD cùng 5 điểm Master of Pwn.
Tiếp sau đó, nhóm STAR Labs SG cũng tận dụng lỗ hổng trong danh sách cho phép các đầu vào để hack thành công chiếc điện thoại Samsung Galaxy S23. Họ được nhận 25.000 USD tiền thưởng cùng 5 điểm Master of Pwn.
Sự kiện Pwn2Own 2023 diễn ra hàng năm do Trend Micro tổ chức tại Toronto, Canada là nơi tập hợp các chuyên gia bảo mật uy tín đến từ khắp nơi trên thế giới. Đây là cơ hội để họ trình diễn kỹ năng phát hiện lỗ hổng và khai thác chúng trên các thiết bị điện tử như điện thoại, máy in, loa thông minh…
Theo thể lệ của cuộc thi, mỗi thiết bị chỉ có phần hack đầu tiên được toàn bộ giải thưởng tiền mặt. Tuy nhiên, mọi lần thành công đều nhận đủ điểm Master of Pwn. Thứ tự các lần thử nghiệm được xác định bằng cách rút thăm ngẫu nhiên.
Ngoài Galaxy S23, các chuyên gia cũng trình diễn cách khai thác lỗ hổng trên nhiều thiết bị khác như điện thoại (Xiaomi 13 Pro, iPhone 14, Pixel 7), máy in Lexmark, thiết bị NAS QNAP, loa Sonos, Chromecast của Google, v.v. Tất cả các thiết bị góp mặt trong sự kiện đều chạy phiên bản hệ điều hành mới nhất, và cũng được cài đặt tất cả các bản cập nhật bảo mật. Mỗi lần hack thành công, các đội đều nhận được khoản tiền thưởng khá lớn.
Tổng cộng sau ngày đầu tiên, ban tổ chức ZDI đã trao 438.750 USD cho 23 lỗ hổng zero-day thành công. Tổng giá trị giải thưởng của cả sự kiện lên tới hơn 1 triệu USD tiền mặt cho các hacker.
Sự kiện Pwn2Own thực sự là một cơ hội để các công ty công nghệ đánh giá đúng đắn độ bảo mật của sản phẩm trước khi chúng thực sự bị tấn công. Đồng thời, giúp họ kịp thời vá lỗ hổng trước khi những kẻ xấu lợi dụng vào mục đích xấu.
