Securitatea cibernetică a devenit în același timp spectacol și teren de testare în aer liber: la competiția Pwn2Own Ireland 2025, echipe de cercetători au identificat și exploatat zeci de vulnerabilități pe dispozitive uzuale, primind recompense în bani și puncte pentru realizări tehnice. Evenimentul, desfășurat la Cork între 21 și 24 octombrie, a adunat specialiști care au arătat cât de vulnerabile pot fi smartphone-urile, NAS-urile, imprimantele și gadgeturile pentru locuința conectată.
A doua zi a produs 56 de zero-day-uri unice și premii totale în numerar de 792.750 de dolari. Printre succese, Ken Gannon de la Mobile Hacking Lab și Dimitrios Valsamaras de la Summoning Team au compromis un Samsung Galaxy S25 printr-un lanț de cinci vulnerabilități, fiind recompensați cu 50.000 de dolari și 5 puncte Master of Pwn. Summoning Team rămâne în fruntea clasamentului Master of Pwn cu 18 puncte, acumulând până acum 167.500 de dolari în primele două zile. Nu e chiar un hobby de weekend.
Unele atacuri au fost surprinzător de fulgerătoare: PHP Hooligans a preluat controlul unui QNAP TS-453E în numai o secundă, ceea ce sugerează două lucruri: uneori exploit-urile sunt extrem de eficiente și, uneori, concursurile recurg la vulnerabilități deja exploatate în competiții anterioare. Alte echipe și-au împărțit premii de câte 20.000 de dolari pentru compromiterea unor echipamente precum QNAP TS-453E, Synology DS925+ și Philips Hue Bridge; printre participanți se regăsesc Chumy Tsai de la CyCraft Technology, Le Trong Phuc și Cao Ngoc Quy de la Verichains Cyber Force, precum și Mehdi și Matthieu de la Synacktiv Team.
Lista dispozitivelor afectate în cele două zile include imprimante Canon imageCLASS MF654Cdw și Lexmark CX532adwe, camere și NAS-uri Synology CC400W și DS925+, prize inteligente Amazon Smart Plug și sisteme de automatizare Home Automation Green. În prima zi au fost demonstrate în total 34 de zero-day-uri care au generat 522.500 de dolari, iar după încheierea competiției producătorii au la dispoziție 90 de zile pentru a lansa remedieri înainte ca ZDI să facă vulnerabilitățile publice.
Organizatorii au lărgit și aria de atacuri acceptate: anul acesta sunt admise exploituri prin portul USB pentru telefoane mobile, ceea ce obligă participanții să demonstreze că pot compromite un telefon blocat printr-o conexiune fizică; în paralel, canalele tradiționale fără fir, Wi‑Fi, Bluetooth și NFC, rămân valabile. Pwn2Own Ireland 2025 acoperă opt categorii, vizând flagship-uri precum Samsung Galaxy S25, Apple iPhone 16 și Google Pixel 9, imprimante, sisteme de stocare în rețea, echipamente de rețea casnică, aplicații de mesagerie, dispozitive smart home, echipamente de supraveghere și tehnologie purtabilă, incluzând headset-urile Meta Quest 3/3S și ochelarii Ray-Ban Smart Glasses.
Meta este co-sponsor al concursului, alături de Synology și QNAP. În ultima zi a competiției se va reveni asupra Samsung Galaxy S25 și asupra mai multor NAS-uri și imprimante. De asemenea, Eugene de la Team Z3 plănuiește să demonstreze un bug Zero-Click pentru WhatsApp care ar putea fi eligibil pentru recompensa de 1 milion de dolari, o miză enormă pentru o singură vulnerabilitate.
Din perspectivă istorică, Pwn2Own a avut ediții consistente: în 2024 participanții au câștigat 1.078.750 de dolari pentru peste 70 de zero-day-uri, iar Viettel Cyber Security a obținut 205.000 de dolari după compromiterea QNAP, Sonos și Lexmark. Organizatorii ZDI planifică și extinderea tematicii: în ianuarie 2026 vor reveni la salonul Automotive World din Tokyo pentru a treia ediție Pwn2Own Automotive, cu sponsorship Tesla.
A doua zi a Pwn2Own Ireland 2025 pune în lumină două idei esențiale: pe de o parte, complexitatea și volumul problemelor de securitate generate de conectivitatea tot mai largă a produselor de consum; pe de altă parte, mecanismul competitiv de recompensare a cercetătorilor, menit să forțeze producătorii să remedieze problemele. Exemple concrete din competiție, Samsung Galaxy S25, QNAP TS-453E, Synology DS925+ și Philips Hue Bridge, arată că riscul afectează atât dispozitivele personale, cât și infrastructura casnică. Patching-ul rămâne crucial, la fel și transparența între cercetători și furnizori. Ce părere ai despre ideea de a conecta la internet mai multe lucruri acasă atunci când astfel de vulnerabilități sunt făcute publice?
Fii primul care comentează