Pwn2Own Ireland 2025 takmičenje u hakovanju završeno je sa ukupno 1.024.750 dolara nagrada, koje su istraživači sajber bezbjednosti osvojili eksploatišući 73 zero-day ranjivosti.
Na Pwn2Own Ireland 2025, učesnici su ciljali proizvode u osam kategorija, uključujući štampače, mrežne skladišne sisteme, aplikacije za razmjenu poruka, pametne kućne uređaje, opremu za nadzor, kućne mrežne uređaje, vodeće pametne telefone (Apple iPhone 16, Samsung Galaxy S25 i Google Pixel 9), kao i nosivu tehnologiju (uključujući Meta Ray-Ban pametne naočare i Quest 3/3S headsetove).
Ovogodišnje izdanje takmičenja proširilo je napadnu površinu i na eksploataciju USB portova na mobilnim uređajima, što je zahtijevalo da istraživači hakovanjem pristupe zaključanim telefonima putem fizičke konekcije. Ipak, tradicionalni bežični protokoli poput Bluetootha, Wi-Fi-ja i NFC-a (near-field communication) ostali su važeći vektori napada.
Takmičenje u hakovanju, koje su zajednički sponzorisali Meta, QNAP i Synology, održano je od 21. do 23. oktobra u Corku, u Irskoj.
Summoning Team osvojio je ovogodišnje izdanje Pwn2Own Ireland sa 22 Master of Pwn poena i zaradom od 187.500 dolara tokom trodnevnog događaja, nakon što su hakovali Samsung Galaxy S25, Synology DiskStation DS925+ NAS, Home Assistant Green, Synology ActiveProtect Appliance DP320 NAS disk, Synology CC400W kameru i QNAP TS-453E NAS uređaj.
Tim ANHTUD zauzeo je drugo mjesto sa 76.750 dolara i 11,5 Master of Pwn poena, dok je Team Synacktiv bio treći sa 90.000 dolara nagrade i 11 Master of Pwn poena.
Prvog dana Pwn2Own takmičenja hakeri su eksploatisali 34 jedinstvene zero-day ranjivosti i zaradili 522.500 dolara. Drugog dana demonstrirali su još 22 nove zero-day ranjivosti, osvojivši dodatnih 267.500 dolara.
Glavni događaj posljednjeg dana bilo je hakovanje Samsung Galaxy S25 telefona od strane tima Interrupt Labs, koji su iskoristili ranjivost u neispravnoj validaciji unosa i time omogućili pristup lokaciji i kameri uređaja. Za ovaj podvig osvojili su 5 Master of Pwn poena i 50.000 dolara.
Iako je tim Z3 bio zakazan da demonstrira zero-click RCE napad na WhatsApp, koji je vrijedio milion dolara, odlučili su da se povuku iz takmičenja i privatno podijele svoje nalaze sa analitičarima Zero Day Initiative (ZDI) prije nego što ih dostave Meta inženjerskom timu.
Zero Day Initiative (ZDI) organizuje ovo takmičenje kako bi identifikovala ranjivosti prije nego što ih hakeri mogu zloupotrijebiti, te koordinisala odgovorno otkrivanje sa pogođenim proizvođačima.
Nakon što se zero-day ranjivosti demonstriraju na Pwn2Own takmičenju, proizvođači imaju rok od 90 dana da objave zakrpe prije nego što ih ZDI javno objelodani.
U januaru 2026. godine, ZDI će ponovo učestvovati na sajmu Automotive World u Tokiju, gdje će biti održano treće izdanje Pwn2Own Automotive takmičenja, ponovo uz sponzorstvo Tesle.
Izvor: BleepingComputer
