Onderzoekers hebben tijdens de Pwn2Own-wedstrijd in Toronto twee zeroday-aanvallen tegen de Samsung Galaxy S22 gedemonstreerd. Via de getoonde kwetsbaarheden is het mogelijk voor een aanvaller om willekeurige code op het toestel uit te voeren, waarbij alleen het bezoeken van een malafide website volstaat. Wanneer Samsung met beveiligingsupdates komt is onbekend. De onderzoekers werden met respectievelijk 50.000 dollar en 25.000 dollar beloond. Alleen voor de eerste succesvol getoonde aanval ontvangen onderzoekers het volledige bedrag.

Pwn2Own kent verschillende edities die onder andere in Vancouver en Toronto plaatsvinden. Tijdens de evenementen worden onderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte software en hardware. Tijdens Pwn2Own Toronto zijn smartphones, wifi-routers, domocatica-hubs, printers, smart speakers en NAS-apparaten het doelwit.

De grootste beloning wordt uitgereikt voor een succesvolle aanval op een volledig gepatchte Apple iPhone 13 of Google Pixel 6. Wanneer het lukt om bij het bezoeken van een website via Safari of Chrome willekeurige code op de telefoon met kernelrechten uit te voeren levert dit 250.000 dollar op. Aanvallen via nfc, bluetooth of wifi worden met een zelfde bedrag beloont.

Naast de twee succesvolle aanvallen op de Samsung S22 werden ook onbekende kwetsbaarheden in de Canon imageCLASS MF743Cdw-printer, Lexmark MC3224i-printer, HP Color LaserJet Pro M479fdw-printer, NETGEAR RAX30 AX2400-router, TP-Link AX1800-router, Synology RT6600ax-router en Synology DiskStation DS920+-nas gedemonstreerd. De kwetsbaarheden worden met de betreffende fabrikanten gedeeld, zodat die updates kunnen ontwikkelen. Vandaag vindt de tweede dag van het driedaagse evenement plaats.