Pwn2Own黑客大赛闭幕：无人尝试入侵苹果iPhone 14/谷歌Pixel 7 破绽,赏金

10 月 29 日消息，为期三天的 Pwn2Own 2023 黑客大赛已在当地时光 10 月 27 日落下帷幕，本次大会在加拿大多伦多举办，黑客可借助各种破绽攻击消费类电子产品，从而获得相应的赏金和 Master of Pwn 积分。

Pwn2Own 黑客大赛是由惠普旗下 TippingPoint 的项目组 ZDI（Zero Day Initiative）主办的，谷歌、微软、苹果、Adobe 等科技巨头都对此竞赛提供支撑，是全世界最有名、奖金最丰厚的黑客大赛。

据介绍，安全研讨人员通过运用 58 个零日破绽（以及多个破绽碰撞）来攻击消费类产品，共计发生了 103.85 万美元（ 备注：当前约 760.2 万元人民币）的奖金。

这些零日破绽针对多家厂商装备，包括小米、西部数据、群晖、佳能、利盟、Sonos、TP-Link、威联通、Wyze 和惠普。一旦这些零日破绽被报告给厂商，厂商需在 ZDI 公开披露这些破绽之前的 120 天时光里推出更新补丁。

在运动期间，安全研讨人员以移动和物联网装备为目标，提供了包含手机（iPhone 14、 Pixel 7、三星 Galaxy S23 和小米 13 Pro）、打印机、无线路由器、NAS 装备、家庭主动化中心、监控体系、智能音响 以及谷歌的 Pixel Watch 和 Chromecast 等在内的装备，且全部装备都处于默认配置并运行最新的安全更新。

竞赛成果显示，没有一支团队报名入侵苹果 iPhone 14 和谷歌 Pixel 7 智能手机，但参赛者还是四次胜利入侵了打满补丁的三星 Galaxy S23。据 此前报道，该运动举行首日，三星 Galaxy S23 就已被胜利入侵 2 次，其中 Pentest Limited 团队运用错误的输入验证破绽，可以执行任意代码，从而博得了 5 万美元赏金和 5 个 Master of Pwn 积分。

STAR Labs SG 团队在第二轮竞赛中再次通过输入的许可列表，入侵 Galaxy S23 手机，从而博得了 2.5 万美元赏金和 5 个 Master of Pwn 积分。

此外，NCC Group 团队胜利破解小米 13 Pro 手机，获得了 2 万美元赏金和 4 个 Master of Pwn 积分。