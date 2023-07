Later dit jaar vindt de jaarlijkse Pwn2Own-wedstrijd in Toronto plaats, waarbij onderzoekers 300.000 dollar kunnen verdienen met een zeroday-aanval op de iPhone 14. Een aanval op een Google Pixel 7 wordt met maximaal 250.000 dollar beloond. De prijzen liggen onder de bedragen die commerciële partijen zoals Zerodium voor dergelijke aanvallen betalen.

Pwn2Own is een jaarlijks terugkerende wedstrijd die onderzoekers beloont voor het demonstreren van onbekende kwetsbaarheden in populaire producten en software. Oorspronkelijk lag de focus op smartphones, maar het evenement heeft sinds de eerste editie allerlei nieuwe categorieën toegevoegd. Zo kunnen onderzoekers ook kiezen om smart speakers, huisautomatiseringssystemen, surveillancesystemen, NAS-apparaten en routers aan te vallen.

De hoogste beloning is nog altijd met een succesvolle aanval tegen een smartphone te verdienen. Deze aanvallen mogen plaatsvinden via de browser, nfc, wifi of bluetooth. Voor een succesvolle aanval waarbij een iPhone 14 wordt gecompromitteerd betaalt Pwn2Own een beloning van 250.000 dollar. Lukt het de onderzoekers ook nog om code met kernelrechten uit te voeren, waardoor er volledige controle over het toestel wordt verkregen, dan komt er nog eens 50.000 dollar bij. Een aanval op een Samsung Galaxy S23 levert met maximaal 50.000 dollar veel minder op.

Pwn2Own zal kwetsbaarheden die tijdens het evenement worden gedemonstreerd met de betreffende fabrikanten delen, zodat die updates kunnen ontwikkelen. Dat geldt niet voor commerciële bedrijven zoals Zerodium, die onderzoekers ook betalen voor het melden van onbekende kwetsbaarheden. Deze beveiligingslekken worden niet met de betreffende fabrikant gedeeld, maar alleen met klanten, vaak overheidsinstanties. Daardoor blijven gebruikers kwetsbaar. Zerodium biedt voor een browser-gebaseerde aanval maximaal 500.000 dollar. Pwn2Own Toronto vindt plaats van 24 tot en met 27 oktober.