Pwn2Own Tokio im Herbst – diesmal live aus Toronto

Originalbeitrag von Brian Gorenc

Während der letzten Jahre fand die Herbstveranstaltung des Pwn2Own-Wettbewerbs immer im Rahmen der PacSec Applied Security Conference in Tokio statt. Da in diesem Jahr die Konferenz nur virtuell abgehalten wird, musste auch die ZDI einen Weg finden, die Pwn2Own wie schon im Frühjahr in den virtuellen Raum zu verschieben. Das Problem dabei bestand darin, dass sich die Herbstveranstaltung auf Geräte wie Mobiltelefone, Fernseher, smarte Lautsprecher und drahtlose Router konzentriert – also physische Geräte, deren Hacking virtuell schwierig ist. Dennoch gelang es den Mitarbeitern der ZDI, ein perfektes Setting für den Wettbewerb aufzustellen, sodass das Event vom 3. – 5. November live aus Toronto kommt und zwar gleichzeitig mit der virtuellen PacSec-Konferenz (1. – 6. November). Als Hacking-Ziele stehen 20 Geräte zur Verfügung und mehr als 500.000 US-Dollar als Preisgeld.

Wie schon bei der Frühjahrsveranstaltung des Pwn2Own ist die Remote-Teilnahme wieder möglich, wenn Teilnehmer Reiserestriktionen unterworfen sind, oder Sicherheitsgründe die Präsenz verhindern. Diese Teilnehmer müssen sich trotzdem bis zum 29. Oktober registrieren und ein ausführliches Whitepaper einreichen, in dem sie den kompletten Exploit-Ablauf erklären und Anleitungen für die Ausführung geben. Ein Mitarbeiter der ZDI wird den Exploit durchführen, der gefilmt wird und dem Teilnehmer sowie dem Anbieter zur Verfügung steht. Auf Wunsch arbeitet der ZDI-Mitarbeiter mit Remote-Teilnehmern zusammen, um den Hacking-Versuch in Echtzeit per Telefonanruf oder Videochat zu überwachen. Es gilt zu beachten, dass Änderungen an Exploits/Skripts/etc. nicht möglich sind, was die Gewinnchancen im Falle eines unerwarteten Ereignisses verringern könnte. Ansonsten läuft der Wettbewerb so ab, als ob er in Tokio stattfinden würde. Wer Fragen dazu hat, kann über zdi@trendmicro.com Kontakt aufnehmen.

Facebook kehrt als Partner für die diesjährige Veranstaltung zurück und bietet erneut Oculus Quest und Portal von Facebook-Geräten als Ziele an. Niemand hatte die Geräte während ihrer Eröffnungsshow ins Visier genommen, daher wird es interessant sein zu sehen, ob sich das diesmal ändert. Die Teilnahme von Anbietern bleibt eine Schlüsselkomponente für den Erfolg dieser Wettbewerbe. Wie auch bei den anderen Pwn2Own-Wettbewerben versucht Pwn2Own Tokyo (Live aus Toronto), diese verbraucherorientierten Geräte und ihre Betriebssysteme zu härten, indem Schwachstellen aufgedeckt werden, die dann den Herstellern zur Kenntnis gebracht werden. Wie immer ist es das Ziel, diese Fehler zu beheben, bevor sie aktiv ausgenutzt werden.

Zu den angebotenen Hacking-Zielen gehören unter anderem Mobiltelefone (Google Pixel 4, Samsung Galaxy S20, Apple iPhone 11, Huawei P40 sowie Xiaomi Mi 10), Wearables, drahtlose Router und Fernseher. In diesem Jahr sind Network Attached Storage (NAS)-Server hinzugekommen. Die komplette Liste der Geräte beinhaltet der Originalbeitrag. Der Wettbewerb wird wieder in verschiedenen Kategorien ausgetragen, und es wird auch wieder einen Master of Pwn geben. Alle Einzelheiten zum Pwn2Own Tokyo 2020 liefert die ZDI.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.