Le produit phare Android de Samsung Galaxy S21 piraté à nouveau chez Pwn2Own

Samsung’s Galaxy S21 Android flagship hacked again at Pwn2Own

Le ZDI de Trend Micro a attribué 1 081 250 $ pour 61 zero-days exploité à Pwn2Own Austin 2021, avec des concurrents qui ont réussi à pwning à nouveau le Samsung Galaxy S21 et à pirater une imprimante HP LaserJet pour jouer à Thunderstruck d’AC/DC le troisième jour du concours.

Les participants ont gagné 70 000 $ le quatrième jour, 238 750 $ le troisième jour, 415 000 $ le deuxième et 362 500 $ le premier jour.

L’équipe Synacktiv a gagné le concours après avoir obtenu 197 000 $ en espèces pour leurs zero-days et 20 points Master of Pwn, avec une avance de six points sur l’équipe DEVCORE, qui a terminé avec 14 points et a remporté un total de 140 000 $.

Au cours des quatre jours de compétition, les concurrents ont compromis des imprimantes, des routeurs, des périphériques NAS et des haut-parleurs de Canon, HP, Western Digital, Cisco, Sonos, TP-Link et NETGEAR après avoir exploité 61 failles de sécurité inconnues auparavant connues sous le nom de vulnérabilités zero-day. .

Le calendrier complet de Pwn2Own Austin 2021 et les résultats après chaque défi sont disponibles ici.

Classement final de Pwn2Own Austin 2021
Classement final Pwn2Own Austin 2021 (ZDI)

Sam Thomas (@_s_n_t) de l’équipe Pentest Limited (@pentestltd) est celui qui a compromis le Samsung Galaxy S21 en exécutant les dernières mises à jour de sécurité Android 11 le troisième jour en utilisant une chaîne unique à trois bugs et en gagnant 50 000 $.

Le Samsung Galaxy S21 a échappé à une tentative de piratage le premier jour après que Ken Gannon de F-Secure Labs n’a pas réussi à faire fonctionner son exploit zero-day dans le temps imparti.

M. L et Nguyễn Hoàng Thạch (@hi_im_d4rkn3ss) de STARLabs ont pu obtenir l’exécution de code sur le Samsung Galaxy S21 le deuxième jour de Pwn2Own.

Cependant, malgré leur succès et le gain de 25 000 $, leur tentative a été qualifiée de « collision » après qu’il a été révélé qu’ils utilisaient un bug connu du vendeur.

Le troisième jour de Pwn2Own a également vu l’équipe F-Secure Labs transformer une imprimante HP LaserJet en juke-box en utilisant un débordement de tampon basé sur la pile pour jouer Thunderstruck d’AC/DC.

Lors de cette édition de Pwn2Own, les concurrents ont ciblé les téléphones mobiles, imprimantes, routeurs, stockage en réseau (NAS), haut-parleurs intelligents, téléviseurs, stockage externe et autres appareils, tous à jour et exécutant des configurations par défaut.

Le périphérique NAS My Cloud Home Personal Cloud de 3 To de Western Digital était la seule exception à cette règle, car il exécute une version logicielle bêta.

L’édition de cette année de l’événement axé sur les consommateurs de Pwn2Own Austin est la première à être prolongée à quatre jours après que 22 concurrents différents se soient inscrits pour un total de 58 entrées.

Vous pouvez trouver des vidéos récapitulatives pour les quatre jours de Pwn2Own intégrées ci-dessous.