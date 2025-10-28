Das japanische Cybersicherheitsunternehmen Trend Micro trug letzte Woche den Hackathon Pwn2Own aus. Der Wettbewerb stand im Rahmen der seit 2005 bestehenden Zero Day Initiative der Firma, bei der Zero-Day-Sicherheitslücken von Produktanbietern gemeldet werden. Ziele der Initiative sind der Aufbau eines Netzwerks von Forschern, die Meldung von Zero-Day-Schwachstellen durch finanzielle Anreize zu fördern und die Kunden von Trend Micro frühstmöglich zu schützen. Für den Wettbewerb vergaben der Veranstalter und die Co-Sponsoren Synology sowie Qnap insgesamt rund eine Million US-Dollar an Preisgeldern. Die Teilnehmer entdeckten und meldeten 73 unbekannte Zero-Day Schwachstellen.
Ziele der Hacker-Angriffe
Unter den erfolgreich gehackten Produkten stechen folgende heraus:
- Samsung Galaxy S25: Das Team Interrupt Labs nutzte eine Schwachstelle bei der Eingabevalidierung aus, um die Kamera und Standortfunktion zu kompromittieren. Auch das Summoning Team konnte das Flaggschiff-Modell von Samsung unter Ausnutzung von fünf unterschiedlichen Lücken hacken.
- Synology Diskstation DS925+: Auf der NAS-Station konnte das Team Verichains Cyber Schadcode als Root ausführen aufgrund von zwei Bugs, darunter einer im Authentifizierungsprozess.
- Sonos Era 300 Smart Speaker: Star Labs verwendete einen Fehler im temporären Speicher (Out-of-Bounds-Access-Bug), um den Lautsprecher anzugreifen.
- Qnap Router: Das Team DDOS entdeckte acht Schwachstellen, darunter Injections, mit denen sie einen im Netz angeschlossenen Router angreifen konnten.
- Whatsapp: Die Gruppe Z3 konnte einen Zero-Click-Exploit an dem Messenger ausführen, teilte seine Erkenntnisse aber Trend Micro und Meta mit, damit mögliche Lücken geschlossen werden konnten.