Представители Trend Micro Zero Day Initiative (ZDI) анонсировали основные цели и призы для грядущего хакерского конкурса Pwn2Own, который пройдет в декабре. Также была представлена новая конкурсная категория, в рамках которой исследователи будут взламывать среду, имитирующую обычный домашний офис.
Следующий Pwn2Own будет проходить 6-8 декабря 2022 года в Канаде. На этот раз мероприятие будет проводиться не одновременно с конференцией, и поэтому ZDI решила возместить участникам 3000 долларов на дорожные расходы, чтобы побудить как можно больше экспертов лично поучаствовать в Pwn2Own. Впрочем, как и в прошлые годы, багхантеры смогут соревноваться и удаленно, а сотрудники ZDI в Торонто будут запускать для них эксплоиты.
В этом году общий призовой фонд соревнования составит более одного миллиона долларов, плюс участники получат дополнительные призы за эксплоиты, нацеленные на мобильные телефоны, беспроводные маршрутизаторы, хабы умных домов, умные колонки, принтеры и устройства NAS.
Также стало известно, что в этом году на Pwn2Own появится новая категория под названием «The SOHO Smashup», в которой участники смогут заработать до 100 000 долларов. В этой категории исследователям предложат взломать среду, имитирующую обычный домашний офис. По сути, цель заключается во взломе маршрутизатора через интерфейс WAN и последующем переходе в локальную сеть, где нужно будет скомпрометировать любое другое устройство на выбор (например, принтер, NAS и так далее).
На первом этапе участники смогут попробовать свои силы во взломе маршрутизаторов TP-Link, Netgear, Synology, Cisco, MikroTik или Ubiquity. На втором этапе они смогут выбирать цель из длинного списка устройств, включая IoT-продукты Meta*, Amazon, Google, Sonos, Apple, HP, Lexmark, Canon, Synology и WD.
Хотя эта версия Pwn2Own более не называется Pwn2Own Mobile, мобильные телефоны по-прежнему остаются наиболее привлекательной целью для участников с финансовой точки зрения. Так, исследователи смогут заработать до 250 000 долларов, если продемонстрируют успешный взлом iPhone 13 от Apple или Pixel 6 от Google. Взлом Samsung Galaxy S22 может принести участникам еще 50 000 долларов.
Также денежный приз в размере до 60 000 долларов предлагается за эксплоиты для умных колонок и хабов для умных домов. Целями в этой категории являются Sonos One, Apple HomePod Mini, Amazon Echo Studio, Meta Portal Go, Amazon Echo Show 15 и Google Nest Hub Max.
Кроме того, участники смогут получить до 40 000 долларов за эксплоиты для Synology и WD NAS, а также от 5000 до 30 000 долларов за уязвимости в маршрутизаторах. Эксплоиты для принтеров будут стоить до 20 000 долларов.
* Деятельность компании Meta признанной экстремистской, организация запрещена в России.