На Pwn2Own Ireland 2025 учасники атакували пристрої у восьми категоріях: принтери, мережеві сховища даних, месенджери, розумні домашні пристрої, системи відеоспостереження, домашнє мережеве обладнання, флагманські смартфони (Apple iPhone 16, Samsung Galaxy S25 і Google Pixel 9) та носимі гаджети, зокрема розумні окуляри Meta Ray-Ban і гарнітури Quest 3/3S.
Цьогоріч організатори розширили поле для атак, додавши експлуатацію USB-портів на мобільних пристроях — дослідники мали зламати заблоковані гаджети через фізичне підключення. Традиційні бездротові протоколи, такі як Bluetooth, Wi-Fi та NFC, також залишилися дійсними векторами атаки.
Змагання, співорганізовані Meta разом із QNAP та Synology, проходили з 21 по 23 жовтня у Корку, Ірландія.
Головними подіями змагань став злом Samsung Galaxy S25 Кеном Ґанноном із Mobile Hacking Lab та Димітріосом Валсамарасом із команди Summoning Team. Використавши ланцюг із п’яти вразливостей, вони заробили $50 000 та 5 балів у заліку Master of Pwn.
Примітно, що команді PHP Hooligans знадобилася лише одна секунда, щоб зламати NAS-пристрій QNAP TS-453E, проте виявилося, що вразливість, яку вони використали, вже була задіяна в конкурсі раніше.
По $20 000 отримали також Чумі Цай із CyCraft Technology, Ле Чонг Фук та Као Нгок Куй із Verichains Cyber Force, а також Меді та Матьє з команди Synacktiv за злом QNAP TS-453E, Synology DS925+ та Phillips Hue Bridge.
Учасники також експлуатували вразливості нульового дня в принтері Canon imageCLASS MF654Cdw, Home Automation Green, камері Synology CC400W, NAS Synology DS925+, розумній розетці Amazon та принтері Lexmark CX532adwe.
Переможці
Команда Summoning Team виграла Pwn2Own Ireland, набравши 22 бали Master of Pwn і заробивши $187 500 за три дні. Їм вдалося зламати Samsung Galaxy S25, Synology DiskStation DS925+ NAS, Home Assistant Green, Synology ActiveProtect Appliance DP320 NAS, камеру Synology CC400W і пристрій QNAP TS-453E NAS.
Друге місце посіла команда ANHTUD із $76 750 та 11,5 балами Master of Pwn, третє — Synactiv із $90 000 та 11 балами.
Результати трьох днів
Першого дня хакери виявили 34 унікальні уразливості нульового дня і отримали $522 500. Другого дня продемонстрували ще 22 уразливості на $267 500.
Кульмінацією останнього дня став злом Samsung Galaxy S25 командою Interrupt Labs через помилку перевірки вхідних даних. Дослідники заробили 5 балів Master of Pwn і $50 000, увімкнувши відстеження геолокації та камеру пристрою.
Команда Z3 мала продемонструвати уразливість нульового дня у WhatsApp — віддалене виконання коду без дії користувача, яка давала право на $1 млн винагороди. Проте вони вийшли зі змагання, вирішивши приватно передати результати аналітикам ZDI перед консультацією з інженерною командою Meta.
Відповідальне розкриття
Zero Day Initiative (ZDI) організовує ці змагання для виявлення вразливостей до того, як їх використають зловмисники, і координації відповідального розкриття інформації з постачальниками.
Після демонстрації на Pwn2Own виробники мають 90 днів для випуску патчів, перш ніж Zero Day Initiative оприлюднить інформацію про уразливості.
Під час Pwn2Own Ireland 2024 хакери заробили $1 078 750 за понад 70 вразливостей нульового дня, а команда Viettel Cyber Security отримала $205 000 готівкою за експлуатацію вразливостей у QNAP, Sonos та Lexmark.
У січні 2026 року ZDI повернеться на технологічну виставку Automotive World у Токіо для проведення третього конкурсу Pwn2Own Automotive за спонсорства Tesla.
