Pwn2Own: Hacker nehmen im Oktober Smartphones und WhatsApp ins Visier

Die Zero Day Initiative hat die diesjährige Ausgabe des auf Consumer-Produkte ausgerichteten Hackerwettbewerbs Pwn2Own angekündigt. Sie startet am 22. Oktober. An insgesamt vier Tagen werden Sicherheitsforscher Schwachstellen in Consumer- und SOHO-Produkten vorstellen, darunter Smartphones, Drucker, NAS-Geräte und Messenger-Apps.

In diesem Jahr findet der Wettbewerb in Irland statt. Als neuer Sponsor konnte nach Angaben der Zero Day Initiative Meta gewonnen werden. Dadurch wird die Messenger-App WhatsApp zu einem offiziellen Ziel für die Teilnehmer. Für eine Zero-Klick-Schwachstelle in WhatsApp gibt es eine Belohnung von 300.000 Dollar. Ein Bug, für dessen Ausnutzung eine einmalige Interaktion mit einem Nutzer erforderlich ist (1-Click), werden 200.000 Dollar ausgeschüttet.

Als Smartphones stehen den Teilnehmern Samsung Galaxy S24, Google Pixel 8 und Apple iPhone 15 zur Verfügung. Aufgabe für wird es sein, über einen Browser sowie mithilfe von Funktechniken wie NFC, WLAN oder Bluetooth ein Gerät zu kompromittieren. Während eine solche Anfälligkeit in einem Galaxy S24 50.000 Dollar einbringt, sind es beim Pixel 8 und beim iPhone 15 jeweils 250.000 Dollar. Kann eine Schadsoftware sogar mit Kernel-Rechten ausgeführt werden, erhöht sich die Prämie um weitere 50.000 Dollar.

Darüber hinaus stehen als Ziele unter anderem Überwachungskameras von Nest, Synology und Arlo, Smart-Home-Zentralen von Google, Amazon und Apple, Drucker von HP, Lexmark und Canon sowie NAS-Geräte von Synology und QNAP zur Verfügung. Die Prämien für Schwachstellen in diesen Geräten liegen bei bis zu 60.000 Dollar. Außerdem können in der Kategorie SOHO Smashup Angriffe auf bestimmte Router ausgeführt werden, um Smart Speaker, Smart-Home-Zentralen, NAS-Geräte oder auch Drucker zu kompromittieren.