Les chercheurs en sécurité ont collecté 792 750 cash en espèces après avoir exploité 56 vulnérabilités uniques zero-day lors de la deuxième journée du concours de piratage Pwn2Own Ireland 2025.
Le point culminant d’aujourd’hui était Ken Gannon de Mobile Hacking Lab et Dimitrios Valsamaras de Summoning Team hacking le Samsung Galaxy S25 avec une chaîne de cinq failles de sécurité, gagnant 50 000 $et 5 points Master of Pwn.
De plus, alors que les hooligans PHP n’avaient besoin que d’une seule seconde pour pirater le périphérique NAS QNAP TS-453E, la vulnérabilité qu’ils exploitaient avait déjà été utilisée dans le concours.
Chumy Tsai de CyCraft Technology, Le Trong Phuc et Cao Ngoc Quy de Verichains Cyber Force, et Mehdi et Matthieu de l’équipe Synacktiv ont également reçu 20 000 $pour avoir pénétré par effraction dans le QNAP TS-453E, le Synology DS925+ et le pont Phillips Hue.
Les concurrents ont également exploité les bogues zero-day de l’imprimante Canon imageCLASS MF654Cdw, de la domotique Green, de l’appareil photo Synology CC400W, du NAS Synology DS925+, de la prise intelligente Amazon et de l’imprimante Lexmark CX532adwe.
L’équipe d’invocation est toujours en tête du classement Master of Pwn avec 18 points après avoir gagné 167 500 $au cours des deux premiers jours de l’événement.
Le premier jour de Pwn2Own Ireland, les chercheurs ont fait une démonstration de 34 jours zéro uniques et ont collecté 522 500 awards en récompenses en espèces. Une fois la compétition terminée, les fournisseurs disposent de 90 jours pour publier des correctifs avant que ZDI ne divulgue publiquement les vulnérabilités.
Le troisième et dernier jour de Pwn2Own, ils cibleront à nouveau le Samsung Galaxy S25, ainsi que plusieurs périphériques NAS et imprimantes. Eugene de l’équipe Z3 tentera également de démontrer un bug d’exécution de code à distance WhatsApp Zéro Clic éligible à une récompense de 1 million de dollars.
Meta co-sponsorise Pwn2Own Ireland 2025 aux côtés de Synology et QNAP, le concours de piratage se déroulant du 21 au 24 octobre à Cork.
Pwn2Own Ireland 2025 comprend huit catégories ciblant les smartphones phares (Samsung Galaxy S25, Apple iPhone 16 et Google Pixel 9), les imprimantes, les systèmes de stockage réseau, les équipements de réseau domestique, les applications de messagerie, les appareils domestiques intelligents, les équipements de surveillance et les technologies portables (y compris les casques Meta’s Quest 3/3S et les lunettes intelligentes Ray-Ban).
Le concours de cette année élargit les vecteurs d’attaque pour inclure l’exploitation des ports USB sur les combinés mobiles, obligeant les chercheurs à pirater des téléphones verrouillés via une connexion physique. Cependant, les protocoles sans fil traditionnels tels que le Wi-Fi, le Bluetooth et la communication en champ proche (NFC) sont toujours des vecteurs d’attaque valides.
Lors de l’événement Pwn2Own Ireland 2024, les pirates informatiques ont gagné 1 078 750 USD pendant plus de 70 jours zéro, Viettel Cyber Security remportant 205 000 USD en espèces après avoir exploité les failles QNAP, Sonos et Lexmark.
En janvier 2026, le ZDI reviendra au Salon Mondial de la technologie automobile de Tokyo pour le troisième concours automobile Pwn2Own, à nouveau sponsorisé par Tesla