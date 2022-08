In december van dit jaar vindt de jaarlijkse hackwedstrijd Pwn2Own plaats waarbij deelnemers 250.000 dollar kunnen verdienen door een iPhone 13 of Google Pixel 6 via onbekende kwetsbaarheden over te nemen. Pwn2Own kent verschillende edities die onder andere in Vancouver en Toronto plaatsvinden. Tijdens de evenementen worden onderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte software en hardware.

Tijdens Pwn2Own Toronto zijn smartphones, wifi-routers, domocatica-hubs, printers, smart speakers en NAS-apparaten het doelwit. De grootste beloning wordt uitgereikt voor een succesvolle aanval op een volledig gepatchte Apple iPhone 13 of Google Pixel 6. Wanneer het lukt om bij het bezoeken van een website via Safari of Chrome willekeurige code op de telefoon met kernelrechten uit te voeren levert dit 250.000 dollar op. Aanvallen via nfc, bluetooth of wifi worden met een zelfde bedrag beloont. Een dergelijke aanval op een Samsung Galaxy S22 is goed voor 100.000 dollar.

Kwetsbaarheden die onderzoekers tijdens het evenement demonstreren worden door organisator ZDI aan de betreffende leveranciers gerapporteerd, zodat die beveiligingsupdates kunnen ontwikkelen. Zerodium, een bedrijf dat zeroday-exploits van onderzoekers inkoopt en vervolgens aan andere partijen aanbiedt, looft voor een succesvolle browser-aanval op een iPhone of Androidtelefoon 500.000 dollar. Zerodium stelt de betreffende leverancier niet op de hoogte, waardoor misbruik van de kwetsbaarheid mogelijk blijft.