Pwn2Own 2021奥斯汀黑客大赛公布类别、目标及奖金
编译:代码卫士
ZDI 发布文章称,2021年 Pwn2Own 秋季黑客大赛将于当地时间2021年11月2日至4日在大赛总部美国德克萨斯州奥斯汀举办。大赛将反映当前的家庭办公环境,扩充路由器类别并增加打印机类别,共计22台设备,奖金池超过50万美元。
Pwn2Own 秋季黑客大赛关注的一贯是客户设备,始于2012年,当时只包含移动手机类别。次年,大赛在东京举办,包含 PacSec 应用安全大会;数年后包括电视、可穿戴设备和智能扬声器;去年,大赛在多伦多举办并增加网络附加存储 (NAS) 设备;而今年将增加路由器和打印机设备。
ZDI 指出,本届大赛仍然支持远程参与,仍然通过随机抽签决定第一天的比赛次序并在后续按照该顺序竞赛。本届大赛的活动合作伙伴是西部数据,Synology 是共同赞助伙伴,这两家厂商的设备是安全研究员的主要目标。
Pwn2Own 奥斯汀大赛(最初名为“Pwn2Own移动大赛”)的核心关注点在于手机。和往常一样,这些手机将运行各自的最新版操作系统。竞赛选手必须通过在默认浏览器中浏览 web 内容的方式攻陷设备,或者通过与短距离协议(NFC、WiFi或蓝牙)的通信攻陷设备。该类别的目标设备、奖金及积分点如下。
该类别还包括了额外奖金。如果选手的 exploit payload 以内核级别权限执行,则可获得额外奖金5万美元以及5个额外积分点。也就是说内核级别权限的完整的 iPhone 或 Pixel 浏览器 exploit 将获得20万美元的奖金。
大赛选手必须从选手设备对目标的被暴露网络服务发动攻击。大赛囊括了近期最热门的三款 LaserJet 打印机。
这是Pwn2Own 大赛第二次包括 NAS 设备,Synology 和西部数据提供了最新产品。大赛选手必须在大赛网络从选手笔记本攻击目标的被暴露网络服务。
虽然外部存储设备不如NAS服务器复杂,但也是备受攻击者青睐。今年的大赛仅包含一个单独设备。大赛选手必须攻击目标的被暴露界面并引发任意代码执行后果。
智能扬声器在我们和音乐、新闻等交互中仍然占据重要地位,本次大赛包括五个目标:
此前仅是展示 LED 灯亮等,而这次的路由器类别增加了更复杂的内容。选手必须在大赛网络内从选手设备攻击目标的被暴露网络服务。
当前很少见不设置 web 浏览器和网络应用程序的电视机,本次大赛包括两个设备:
没有 Master of Pwn (破解冠军)的Pwn2Own 大赛是不完整的,它说明了大赛总冠军的重要性。大赛冠军将获得华丽奖杯、一款可穿戴设备以及6.5万分的ZDI积分点。大赛将在东部时间2021年10月29日下午5点停止注册。
Pwn2Own 2021温哥华黑客大赛落幕 3个团队并列 Master of Pwn
Pwn2Own 2021温哥华黑客大赛的目标和赏金公布
2020 Pwn2Own东京大赛落幕,Master of Pwn 诞生
https://www.zerodayinitiative.com/blog/2021/8/11/pwn2own-austin-2021-phones-printers-nas-and-more
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。