A Zero Day Initiative Pwn2Own versenyei immár évtizedes múltra tekinthetnek vissza. A fehér kalapot viselő hekkercsapatoknak korábban jellemzően böngészők, egyéb szoftverek és például okostelefonok ellen kellett megmérkőzni. Az utóbbi időben azonban az egyre komolyabb péndíjjal csábító megmérettetések célpontjainak listája fokozatosan bővült. 2019-ben például Teslát törhettek az indulók.

A héten Austinban zajló Pwn2Own kifejezetten eddig hanyagolt, végfelhasználóknak szánt típusokra, hardveres perifériákra fókuszált. Nyomtatókat például most támadhattak első ízben a versenyzők. És ha már lehetőségük nyílt rá, fel is törték őket. Csak az első napon 360 ezer dollárnyi "vérdíj" talált gazdára. A pénzt a nyomtatók mellett NAS-ok, routerek és okos hangszórók eddig nem ismert biztonsági hibáinak kihasználásával lehetett megszerezni.

A verseny színvonalára jellemző, hogy csak elvétve akadt teljesen sikertelen próbálkozás. Gyakrabban fordult elő, hogy a törés csak részleges pontot és díjat érdemelt, mivel az alkalmazott módszer már ismert bugra, sérülékenységre támaszkodva tudta kijátszani a védelmet.

Nyomokban sem biztonságos nyomtatók

A rendezvény első három napján összesen tíz esetben próbálkoztak nyomtatók feltörésével, és ezek mindegyike sikerrel járt. Nyolc esetben ráadásul teljes értékű győzelem született, köszönhetően annak, hogy a csapatok még nem ismert sérülékenységet kihasználva tudták irányításuk alá vonni az eszközöket.

A Canon ImageCLASS MF644Cdw rendszerét például három különböző módon is kompromittálták, de több fronton esett el a Lexmark MC3224i, illetve a HP Color LaserJet Pro MFP M283fdw is. Mivel egy sikeres akcióért 20 ezer dollár járt, így a csapatok összesítésben több mint 200 ezer dollárt tehettek zsebre ebben az egy kategóriában.

Tekintélyesebb fejpénz járt a Sonos One okos hangszoró védelmének kicselezéséért. Ez két próbálkozásból két csapatnak is sikerült, aminek köszönhetően 60-60 ezer dollárral hízik a bankszámlájuk. A Western Digital NAS-ok feltörése 40 ezret, a Cisco routerek kompromittálása 30 ezer dollárt ért sikeres akciónként.

Az eseményen célpontként szereplő Samsung Galaxy S21 vegyes eredményekkel zárt. A dél-koreai okostelefon az első nap sikeresen ellenállt a támadásnak, másnap pedig ugyan megadta magát, ám a kihasznált hiba már ismert volt a gyártó előtt. A totális kapitulációt azonban a mobil sem úszta meg: a harmadik napon egy teljes értékű sikeres támadással 50 ezret söpört be az egyik induló.