三星Galaxy S22手機兩度被攻破，世界級黑客大賽Pwn2Own首日頒發40萬美元賞金

世界級黑客大賽Pwn2Own 2022已于12月6日在加拿大多倫多市開賽，在大賽的首日，參賽的白帽黑客就兩度攻破了三星的最新款旗艦手機Galaxy S22。

Pwn2Own是由趨勢科技ZDI一年一度舉辦的世界最著名、獎金最豐厚的網絡安全賽事。該賽事獎金超過百萬美元，攻擊目標包括手機、打印機、路由器等。據悉，ZDI所披露及管理的漏洞數量獨步全球，連續14年蟬聯全球最大非限定廠商獨立漏洞懸賞計劃。

據悉，作為測試設備的三星Galaxy S22運行的是最新版本的安卓操作系統，并且已安裝所有可用的更新。

但即使如此，STAR Labs團隊還是在第三次嘗試時成功對三星Galaxy S22實現了輸入驗證不當攻擊。他們獲得了5萬美元和5個Pwn大師積分。另一位參賽者Chim同樣成功演示了對三星Galaxy S22輸入驗證不當漏洞的利用，他憑此賺取了25000美元和5個Pwn大師積分。

根據賽事規則，每個攻擊目標的第一位攻破者，將獲得全額現金獎勵、Pwn大師積分，以及被測設備。對于每個攻擊目標的后續攻破者，他們將獲得50%的獎金和全額的Pwn大師積分。

在比賽的第一天，參賽者們還成功演示了對不同廠商的打印機和路由器中的零日漏洞的利用，其中有佳能、Lexmark、惠普、NETGEAR、Synology、TP-Link、Mikrotik等。

據ZDI官網公告，其在大賽的第一天總共為26個獨特且成功驗證的零日漏洞頒發了40萬美元的獎金。據悉，若白帽黑客能夠成功攻擊谷歌Pixel 6和蘋果iPhone 13智能手機，最高可獲20萬美元的現金獎勵。