嘿,你听说没?这个Pwn2Own多伦多真的是太精彩了,短短四天就爆出了250万美元!这可比平常的黑客比赛刺激多了。000美元是个什么概念?给你举个例子,只要你成功攻破一台设备,就能拿到这个巨额奖金。12月6日,这个为期四天的比赛正式开始了,主办方把战场搬到了加拿大多伦多。这次比赛主要关注消费级设备,把最新款的智能手机、家庭自动化集线器、打印机、无线路由器还有网络附加存储设备都摆上了舞台。不过这些设备都是保持出厂默认配置,没有任何补丁和更新,简直是给黑客们准备的完美靶子。这次比赛是由趋势科技ZDI主办的。你看看这些参加比赛的设备,有谷歌Pixel 6、苹果iPhone 13,还有三星Galaxy S22、Android设备、Canon打印机等等。这些设备在比赛里全都成了靶机。谷歌Pixel 6和苹果iPhone 13被单独列出来作为特别目标,成功攻破就能直接拿到20万美元奖金。要是你能拿到内核级权限,还能额外获得5万美元。如果能拼凑出一个完整攻击链,那你就有可能拿下250万美元呢!所以第一天就打得非常激烈。三星Galaxy S22在第一天就被两次攻破,成了最吸金的靶机之一。STAR实验室利用了一个零日漏洞拿下了5万美元和5分积分;紧接着Chim团队也成功演示了同样漏洞的利用方法,又收获了25万美元和5分积分。这两台S22可是运行着最新版Android系统而且所有补丁都装好了的。第二个赛程里,黑客们把目标转向了办公和家庭网络设备。Interrupt Labs针对佳能、Mikrotik、NETGEAR、TP-Link、Lexmark、Synology还有惠普这些厂商的设备展示了零日漏洞攻击方法;第一天就有26个独特零日漏洞被成功利用,ZDI一下子给了40万美元奖金。随着66个目标被注册进来,Pwn2Own多伦多决定延长活动时间到四天(12月6日至8日),让选手们有更多时间去挖掘漏洞。观众们在这四天里见证了最高250万美元的奖金争夺大战;也深刻感受到了日常联网设备在没有补丁环境下是多么脆弱。“安全”不再是一句口号了,而是可以用漏洞数量和现金代价来衡量的东西。当黑客们把这些设备和奖金都收入囊中之后留下的就是满地未修复的漏洞问题了。这次Pwn2Own用真金白银提醒厂商:系统默认配置下的安全漏洞才是消费级设备最大的软肋。对于普通用户来说还是等待官方补丁来得靠谱些;而对于厂商来说“出厂即安全”已经不是一句广告词了,而是市场和法规的硬要求了。