Onderzoekers hebben tijdens de tweede dag van de Pwn2Own-wedstrijd in Toronto laten zien hoe ze een Sonos One Speaker via onbekende kwetsbaarheden op afstand kunnen compromitteren. Voor de eerste demonstratie van de dag ontvingen Toan Pham en Tri Dang van securitybedrijf Qrious Secure een beloning van 60.000 dollar. De hoogste beloning die tot nu toe tijdens de jaarlijkse hackwedstrijd is uitgekeerd.

Tijdens Pwn2Own worden onderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte software en hardware. Tijdens Pwn2Own Toronto zijn smartphones, wifi-routers, domocatica-hubs, printers, smart speakers en NAS-apparaten het doelwit. Tijdens de tweede dag lukte het twee teams om op afstand code op de Sonos One Speaker uit te voeren.

Een succesvolle aanval tegen smart-speakers wordt beloond met 60.000 dollar. Naast de Sonos kunnen onderzoekers in deze categorie ook kiezen uit de Apple HomePod Mini, Amazon Echo Studio en Google Nest Audio. Alleen de eerste aanval tegen elk apparaat levert de maximale beloning op. De overige aanvallen worden met de helft beloond.

Het tweede team, STAR Labs, ontving uiteindelijk een beloning van 22.500 dollar voor hun aanval op de Sonos. Bij de aanval werd namelijk gebruikgemaakt van een kwetsbaarheid die al eerder was gemeld, wat voor een verdere aftrek zorgde. De gedemonstreerde kwetsbaarheden worden met Sonos gedeeld, zodat de fabrikant updates kan ontwikkelen.

Tijdens de eerste dag van Pwn2Own Toronto lukte het onderzoekers om in de smartphone-categorie twee keer de Samsung Galaxy S22 te compromitteren. Op de tweede dag werd de telefoon weer gecompromitteerd. Waar een succesvolle aanval tegen een iPhone 13 of Google Pixel 6 tweehonderdduizend dollar oplevert, kreeg het team dat als eerste de Samsung compromitteerde een beloning van vijftigduizend dollar. Vandaag vindt de derde en laatste dag van Pwn2Own Toronto plaats.