На международном хакерском состязании Pwn2Own Ireland 2025 участники успешно продемонстрировали более сорока атак на современные устройства, включая смартфоны, сетевые накопители, маршрутизаторы, принтеры и компоненты умного дома. За три дня соревнований было осуществлено 46 результативных атак, в ходе которых специалисты выявили 73 ранее неизвестные уязвимости нулевого дня (0-day).
Все атаки проводились на устройствах с последними версиями прошивок и операционных систем, в стандартной конфигурации, что подчёркивает серьёзность угроз, даже при условии актуального обновления программного обеспечения. Общий фонд вознаграждений превысил один миллион долларов США — участникам выплатили $1 024 750.
Лидером соревнований стала команда Summoning Team, заработавшая внушительные $187 000. Второе место заняла команда Synacktiv с призом $90 000, а третьими стали специалисты из ANHTUD, получившие $76 000. Эти команды продемонстрировали высокий уровень технической подготовки и способность обходить современные механизмы защиты.
Среди атакованных устройств оказались как популярные смартфоны, так и менее ожидаемые цели, такие как принтеры и системы видеонаблюдения. Интересно, что не все попытки оказались успешными. Три команды не уложились в отведённое время для демонстрации уязвимостей, что стало причиной провала атак. Неудачными были попытки взлома смартфона Samsung Galaxy S25, NAS-устройства QNAP TS-453E и гарнитуры виртуальной реальности Meta Quest 3S. В последнем случае удалось вызвать отказ в обслуживании, но достичь исполнения произвольного кода не получилось.
Отдельное внимание привлекла номинация, связанная с мессенджером WhatsApp. Несмотря на обещанные солидные вознаграждения — $1 000 000 за уязвимость с дистанционным выполнением кода без действия пользователя (0-click), $500 000 за уязвимость с необходимостью одного действия (1-click), $150 000 за захват учётной записи и $130 000 за доступ к камере, микрофону или пользовательским данным — участники не представили ни одной успешной атаки. Это может говорить как о высоком уровне защищённости приложения, так и о сложности реализации подобных эксплойтов в условиях конкурса.
Также не было продемонстрировано взломов флагманских моделей Google Pixel 9 и Apple iPhone 16, несмотря на предложенные призы в размере $300 000. Умные очки Meta Ray-Ban также остались вне досягаемости участников, хотя за успешный взлом предлагалось $150 000. Это может свидетельствовать как о продвинутой защите этих устройств, так и о высоком уровне риска, связанного с публичной демонстрацией таких уязвимостей.
В соответствии с правилами Pwn2Own, технические детали всех выявленных уязвимостей будут обнародованы спустя 90 дней с момента окончания мероприятия. Это время даётся производителям, чтобы подготовить и выпустить обновления, устраняющие уязвимости, прежде чем информация станет доступна общественности.
Важно понимать, что такие соревнования стимулируют развитие индустрии информационной безопасности. Вместо того чтобы продавать уязвимости на чёрном рынке, исследователи получают возможность легально заработать и способствуют укреплению цифровой безопасности миллионов пользователей по всему миру.
Стоит также отметить, что современные устройства становятся всё более сложными, объединяя в себе аппаратные, сетевые и программные компоненты, что увеличивает потенциальную площадь атаки. Даже традиционно "безопасные" категории вроде принтеров и видеокамер могут содержать критические уязвимости, позволяющие злоумышленникам проникнуть в корпоративные или домашние сети.
Участие в Pwn2Own требует от специалистов не только глубоких знаний, но и значительных ресурсов: оборудование, лицензии, время на исследование и разработку эксплойтов. Часто команды готовятся к соревнованиям месяцами, а иногда и целый год. Некоторые из них состоят из сотрудников коммерческих компаний, специализирующихся на кибербезопасности, другие — из независимых энтузиастов, для которых участие — способ подтвердить свою квалификацию.
В то же время, неучастие в ряде номинаций поднимает важный вопрос: возможна ли ситуация, когда уязвимости действительно существуют, но участники предпочитают не раскрывать их публично? Причины могут быть разными — от опасений юридических последствий до желания продать найденные ошибки частным заказчикам или государственным структурам. Кроме того, стоимость некоторых устройств может оказаться непосильной для отдельных команд, особенно если речь идёт о новейших моделях, доступных лишь в ограниченном количестве.
Современные технологии развиваются стремительно, и с каждым годом производители усиливают защиту своих устройств, внедряя механизмы на уровне как программного обеспечения, так и аппаратной архитектуры. Однако практика показывает, что абсолютной безопасности не существует. Даже самые защищённые системы могут содержать уязвимости, о которых пока никто не знает. Поэтому мероприятия вроде Pwn2Own продолжают оставаться актуальными и важными как для индустрии, так и для конечных пользователей.
В целом, итоги Pwn2Own Ireland 2025 демонстрируют, насколько уязвимыми могут быть современные цифровые устройства, даже при использовании последних обновлений. Это напоминание о необходимости регулярно устанавливать патчи, использовать комплексные меры защиты и быть внимательными к безопасности не только ПК и смартфонов, но и всей бытовой электроники, подключённой к сети.
