Pwn2Own多伦多大赛把10届赛事的战场放在了12月6日的多伦多。这是一场由趋势科技ZDI主办的赛事,给消费者使用的最新款智能手机、家庭自动化集线器、打印机、无线路由器、网络附加存储、智能扬声器等物品摆上了舞台。所有设备都保持出厂默认配置,给黑客们留了后门。在000美元的最高奖吸引下,12月6日比赛第一天就激烈开始。 这次比赛给谷歌Pixel 6和苹果iPhone 13两个手机特别分配了20万美元的奖金池。只要攻破这两款手机,就能得到这笔巨额奖金。若攻击能获取到内核级权限,额外加5万美元;如果凑出完整的攻击链,一次挑战上限可拿到250万美元。STAR实验室利用零日漏洞在第三次尝试中成功拿下5万美元和5分积分;Chim团队也演示了同样的漏洞利用技巧。值得注意的是,这两台Galaxy S22运行最新版Android系统且已安装所有补丁。 12月7日比赛转投向办公与家庭网络领域。Interrupt Labs团队针对Canon、Mikrotik、NETGEAR、TP-Link、Lexmark、Synology和HP等主流厂商设备展示了打印机和路由器的零日漏洞攻击。当天注册了66个目标。主办方决定延长活动时间到四天。 12月8日活动结束时公布最终积分榜和Master of Pwn排名。这个比赛除了给大家展示最高达250万美元的奖金对决外,还直观展示了消费级设备在无补丁环境下的脆弱性。 在四天时间里观众们看到了最高250万美元的奖金争夺场景。这次比赛让我们明白安全并不是一句口号。黑客们把战利品收进囊中后,留下的却是未修复的漏洞。这次Pwn2Own大赛给厂商们敲响了警钟,提示他们出厂即安全不能只是一句广告词。对于普通用户来说,等待官方补丁永远比赌设备不会被破解更稳妥。