58个零日漏洞碰撞，谷歌、微软等科技巨头纷纷支持

感谢IT之家网友软媒体用户线索投递！

IT之家10月29日报道，为期三天的2023黑客大赛已于当地时间10月27日结束。 会议在加拿大多伦多举行。 黑客可以利用各种漏洞攻击消费电子产品并获得相应的赏金和Pwn积分。

此次黑客大赛由惠普旗下项目组ZDI（Zero Day）主办。 谷歌、微软、苹果等科技巨头均为本次大赛提供支持。 它是世界上最著名、奖金最丰厚的黑客竞赛。

据报道，安全研究人员利用 58 个零日漏洞（以及多个漏洞碰撞）攻击消费类产品，共产生赏金 103.85 万美元（IT之家注：目前约为 760.2 万元）。

这些零日漏洞针对多个供应商的设备，包括小米、西部数据、、佳能、利盟、TP-Link、QNAP、Wyze 和 HP。 一旦将这些零日漏洞报告给供应商，供应商就有 120 天的时间推出更新补丁，然后 ZDI 公开披露这些漏洞。

活动期间，安全研究人员针对移动和物联网设备，包括手机（14、7、三星 S23 和小米 13 Pro）、打印机、无线路由器、NAS 设备、家庭自动化中心、监控系统、智能音箱以及 和其他的，全部采用默认配置并运行最新的安全更新。

比赛结果显示，没有任何团队报名入侵 14和 7智能手机，但参赛者仍然成功四次入侵了完全修补的三星S23。 据IT之家此前报道，三星S23在活动首日就已两次被成功黑客攻击。 该团队利用不正确的输入验证漏洞执行任意代码，从而赢得了 50,000 美元的赏金和 5 个 Pwn 积分。

在第二轮比赛中，STAR Labs SG团队再次通过输入的权限列表入侵了S23手机，从而赢得了25,000美元的赏金和5个Pwn积分。

此外，NCC团队成功破解了小米13 Pro手机，并获得了20,000美元的赏金和4个Pwn积分。