$792 750 за день и 56 критических уязвимостей. Как проходит Pwn2Own Ireland 2025

Во второй день соревнования Pwn2Own Ireland 2025 участники продемонстрировали впечатляющие успехи, обнаружив 56 новых уязвимостей нулевого дня и заработав за них в сумме 792 750 долларов. Это уже второй этап состязания, проходящего в ирландском городе Корк, где специалисты по безопасности соревнуются в умении находить критические уязвимости в популярных устройствах и программном обеспечении.

Одним из самых заметных выступлений стало успешное взломанное устройство Samsung Galaxy S25, в котором команда из двух человек — Кен Гэннон из Mobile Hacking Lab и Димитриос Валсамарас из Summoning Team — использовала сложную связку из пяти ошибок . За эту атаку им начислили 50 000 долларов и 5 баллов в рейтинге Master of Pwn. Несмотря на то, что команде PHP Hooligans удалось за секунду взломать NAS-устройство QNAP TS-453E, использованная ими уязвимость уже фигурировала в программе, поэтому результат не стал новым рекордом.

По 20 000 долларов получили и другие участники, атаковавшие QNAP TS-453E, Synology DS925+ и мост Philips Hue. В их числе — Чуми Цай из CyCraft Technology, а также представители Verichains Cyber Force и Synacktiv Team. Помимо этого, на втором дне были успешно эксплуатированы неизвестные ранее уязвимости в принтере Canon imageCLASS MF654Cdw, системе домашней автоматизации Home Automation Green, камере Synology CC400W, NAS-хранилище Synology DS925+, умной розетке Amazon и принтере Lexmark CX532adwe.

После двух дней проведения конкурса в лидерах остаётся команда Summoning Team, заработавшая 167 500 долларов и набравшая 18 баллов. Первый день соревнования также был продуктивным : участники показали 34 уязвимости и получили в общей сложности 522 500 долларов. По регламенту конкурса у производителей устройств есть 90 дней, чтобы устранить обнаруженные уязвимости до их публичного раскрытия проектом ZDI.

Финальный день Pwn2Own, намеченный на 24 октября, включает в себя новые попытки атак на Samsung Galaxy S25, а также на различные устройства хранения и печати. Отдельного внимания ожидает демонстрация нулевого клика с удалённым выполнением кода в WhatsApp — потенциально самая дорогая заявка с призом в 1 миллион долларов. Попробовать осуществить эту атаку намерен участник по имени Eugene из команды Z3.

Конкурс проводится при поддержке компаний Meta, Synology и QNAP. В программу 2025 года включены восемь категорий, охватывающих флагманские смартфоны (Samsung Galaxy S25, iPhone 16, Pixel 9), домашнюю и офисную электронику, мессенджеры, устройства для умного дома, системы видеонаблюдения и носимую электронику, включая гарнитуры Meta Quest 3/3S и умные очки Ray-Ban.

В этом году организаторы расширили допустимые векторы атак, включив в перечень эксплуатацию уязвимостей через USB-подключение к заблокированным смартфонам. При этом стандартные беспроводные протоколы вроде Wi-Fi, Bluetooth и NFC продолжают использоваться наравне с физическим доступом.

В прошлом году на аналогичном конкурсе Pwn2Own в Ирландии участники суммарно получили 1 078 750 долларов за выявление более 70 уязвимостей. Тогда лучшей оказалась команда Viettel Cyber Security, получившая 205 000 долларов за успешные атаки на устройства QNAP, Sonos и Lexmark.

В январе 2026 года ZDI вернётся в Токио с автомобильной версией соревнования Pwn2Own Automotive , организуемой в рамках выставки Automotive World. Её вновь поддержит компания Tesla.