セキュリティ研究者たちは、Pwn2Own Ireland 2025ハッキングコンテストの2日目に56件のユニークなゼロデイ脆弱性を悪用し、現金で792,750ドルを獲得しました。
本日のハイライトは、Mobile Hacking LabのKen GannonとSummoning TeamのDimitrios ValsamarasがSamsung Galaxy S25をハッキングしたことです。
CyCraft TechnologyのChumy Tsai、Verichains Cyber ForceのLe Trong PhucとCao Ngoc Quy、そしてSynacktiv TeamのMehdi & Matthieuも、QNAP TS-453E、Synology DS925+、Phillips Hue Bridgeへの侵入に成功し、それぞれ20,000ドルを獲得しました。
参加者たちはまた、Canon imageCLASS MF654Cdwプリンター、Home Automation Green、Synology CC400Wカメラ、Synology DS925+ NAS、Amazonスマートプラグ、Lexmark CX532adweプリンターのゼロデイバグも悪用しました。
Summoning Teamは、イベント初日と2日目で167,500ドルを獲得し、Master of Pwnリーダーボードのトップに18ポイントで立っています。
Pwn2Own Ireland初日には、研究者たちが34件のユニークなゼロデイを実演し、522,500ドルの賞金を獲得しました。コンテスト終了後、ベンダーはZDIが脆弱性を公開する前に90日以内にパッチをリリースする必要があります。
Pwn2Ownの3日目であり最終日には、再びSamsung Galaxy S25や複数のNASデバイス、プリンターがターゲットとなります。Team Z3のEugeneも、100万ドルの報奨金が設定されたWhatsAppのゼロクリックリモートコード実行バグの実演を試みます。
MetaはSynologyおよびQNAPと共にPwn2Own Ireland 2025の共同スポンサーを務めており、ハッキングコンテストは10月21日から24日までコークで開催されています。
Pwn2Own Ireland 2025は、8つのカテゴリがあり、フラッグシップスマートフォン(Samsung Galaxy S25、Apple iPhone 16、Google Pixel 9)、プリンター、ネットワークストレージシステム、ホームネットワーク機器、メッセージングアプリ、スマートホームデバイス、監視機器、ウェアラブル技術(MetaのQuest 3/3SヘッドセットやRay-Banスマートグラスを含む)がターゲットです。
今年のコンテストでは、攻撃ベクトルが拡大され、モバイル端末のUSBポートを利用した攻撃も含まれ、研究者は物理的な接続を通じてロックされたスマートフォンをハッキングする必要があります。ただし、Wi-Fi、Bluetooth、近距離無線通信(NFC)などの従来の無線プロトコルも有効な攻撃ベクトルです。
Pwn2Own Ireland 2024イベントでは、ハッカーたちが70件以上のゼロデイで1,078,750ドルを獲得し、Viettel Cyber SecurityはQNAP、Sonos、Lexmarkの脆弱性を悪用して205,000ドルの賞金を手にしました。
2026年1月には、ZDIが東京で開催されるAutomotive World技術ショーに3回目のPwn2Own Automotiveコンテストとして戻ってきます。今回もTeslaがスポンサーです。
