Pwn2Own 토론토 첫날 삼성 갤럭시 S23 두 번 해킹

Pwn2Own 이라는 것은 미국의 3Com TippingPoint에서 주최하는 해킹 대회이며 해킹 대상에 따라서 OS 부문, 웹 브라우저 부문, 스마트폰 부문 등 다양한 카테고리로 나누어서 진행됩니다.
상금의 액수는 한화로 작게는 천만 단위부터 크게는 억 단위까지 다양하고 대부분 기업에서 후원해주는 편입니다.
이유는 보안이슈가 터졌을 때 따라올 처리비용과 이미지 타격 등보다 해커들에게 몇억 주고 보안문제를 사전에 발견하고 강화가 더 좋기 때문입니다.
보안 연구원들은 캐나다 토론토에서 열린 소비자 중심의 Pwn2Own 2023 해킹 대회 첫날 삼성 갤럭시 S23을 두 번 해킹을 당했습니다.
또한, Xiaomi의 13 Pro 스마트폰은 물론 Western Digital, QNAP, Synology, Canon, Lexmark 및 Sonos의 프린터, 스마트 스피커, NAS(Network Attached Storage) 장치 및 감시 카메라의 제로데이를 표적으로 삼는 익스플로잇 및 취약성 체인을 시연이 되었습니다.
Pentest Limited는 Samsung Galaxy S23에 대해 부적절한 입력 검증을 실행할 수 있었으며 그들은 $50,000와 5 Master of Pwn 포인트를 획득했습니다.
Pentest Limited 는 코드 실행을 위해 부적절한 입력 확인 약점을 악용하여 삼성의 주력 Galaxy S23 장치에서 제로데이 공격을 해서 성공을 했습니다.
STAR Labs SG 팀도 허용된 입력 목록을 활용하여 Samsung Galaxy S23을 해킹하여 $25,000(동일 장치를 대상으로 한 두 번째 라운드의 절반 상금)와 5 Master of Pwn 포인트를 획득했습니다.

삼성 갤럭시 S23 울트라

Pwn2Own Toronto 2023은 모든 대상 장치는 모든 보안 업데이트가 설치된 최신 운영 체제 버전을 실행합니다.
ZDI는 제로데이 취약점을 성공적으로 시연한 23개 기업에 대해 대회 첫날에 438,750달러를 수여
전체 목록에는 스마트폰 (예: Apple iPhone 14,Google Pixel 7,Samsung Galaxy S23,Xiaomi 13 Pro), 프린터, 무선 라우터, NAS(네트워크 연결 스토리지) 장치,홈 자동화 허브,감시 시스템, 스마트 장치가 포함 스피커, Google의 Pixel Watch 및 Chromecast 기기는 모두 기본 구성으로 최신 보안 업데이트를 실행
가장 높은 보상은 휴대전화 부문의 제로데이 버그에 대한 것으로, iPhone 14를 해킹하면 최대 300,000달러, Pixel 7을 해킹하면 최대 250,000달러의 상금이 수여되며 참가자에게는 100만 달러 이상의 현금이 제공되었습니다.

 

Pwn2Own Toronto Day 1 Highlight - Pentest Limited VS Samsung #shorts #0day

그리고 보안 연구원 Le Xich Long과 취약성 연구 회사인 Interrupt Labs 에 의해서 삼성 갤럭시 S23가 다시 테스트 될 예정입니다.
3월 Pwn2Own Vancouver 2023 대회에서 연구원들은 3월 22일부터 24일까지 27개의 제로데이(및 여러 버그 충돌)를 악용한 공로로 $1,035,000와 Tesla Model 3 자동차를 받았습니다.