“零日行動(dòng)”（Zero Day Initiative）的2021年P(guān)wn2Own奧斯汀黑客競(jìng)賽已經(jīng)結(jié)束，參與者因他們?cè)诼酚善?、打印機(jī)、NAS設(shè)備、智能手機(jī)和智能揚(yáng)聲器設(shè)備上發(fā)現(xiàn)的零日漏洞而獲得的總收入超過(guò)100萬(wàn)美元。來(lái)自法國(guó)的Synacktiv團(tuán)隊(duì)加冕Pwn大師，獲得20個(gè)積分，197500美元的獎(jiǎng)金。來(lái)自臺(tái)灣的DEVCORE戰(zhàn)隊(duì)名列第二，18個(gè)積分，180000美元的獎(jiǎng)金。本屆大賽的亮點(diǎn)之一是對(duì)打印機(jī)的攻擊挑戰(zhàn)，有十一個(gè)戰(zhàn)隊(duì)成功實(shí)現(xiàn)了對(duì)三款主流打印機(jī)的入侵，或接管或遠(yuǎn)程執(zhí)行代碼。

　　本年度奧斯汀Pwn2Own專注于黑客設(shè)備，ZDI稱這是迄今為止最大的Pwn2Own。白帽黑客在活動(dòng)的第一天賺了36.25萬(wàn)美元，第二天賺了41.5萬(wàn)美元，第三天賺了238750美元，還有6.5萬(wàn)美元在第四天被瓜分。在比賽中發(fā)現(xiàn)了61個(gè)漏洞——這些漏洞通常是由多個(gè)漏洞連接起來(lái)的——參賽者總共獲得了1,081250美元的獎(jiǎng)金。

　　Sonos One智能音箱的獎(jiǎng)金最高。有兩個(gè)團(tuán)隊(duì)每人賺了6萬(wàn)美元，他們實(shí)現(xiàn)了任意代碼執(zhí)行并控制了設(shè)備。

　　在Pwn2Own的歷史上，參與者首次入侵了打印機(jī)——活動(dòng)上展示了11個(gè)成功的打印機(jī)入侵，為研究人員賺取了近20萬(wàn)美元。主辦方選擇了HP Color LaserJet Pro MFP M283fdw、利盟Lexmark MC3224i和佳能 ImageCLASS MF644Cdw三款打印機(jī)作為靶標(biāo)。

　　Pwn2Own上被黑的打印機(jī)

　　參閱：網(wǎng)絡(luò)打印機(jī)正在成為安全防御的死角和盲區(qū)，或成為黑客攻擊的入口點(diǎn)和立足點(diǎn)

　　對(duì)三星Galaxy S21的黑客攻擊只有一次成功，還有一次部分成功。成功的入侵嘗試獲得了5萬(wàn)美元的獎(jiǎng)勵(lì)，部分成功的嘗試（包括一個(gè)已知的缺陷）獲得了2.5萬(wàn)美元的獎(jiǎng)勵(lì)。

　　在路由器方面，參與者通過(guò)入侵思科、Netgear和TP-Link路由器獲得了超過(guò)24萬(wàn)美元的收入。最高的獎(jiǎng)勵(lì)是3萬(wàn)美元，獎(jiǎng)勵(lì)給了幾個(gè)通過(guò)廣域網(wǎng)接口利用思科路由器的團(tuán)隊(duì)。

　　在NAS類別中，黑客從西部數(shù)據(jù)展示了NAS設(shè)備漏洞的利用，共獲得44.5萬(wàn)美元。最高的單筆賠償是4.5萬(wàn)美元，用于破解設(shè)備固件的測(cè)試版。

　　總的來(lái)說(shuō)，Synacktiv團(tuán)隊(duì)賺了最多的錢，將近20萬(wàn)美元，其次是Devcore團(tuán)隊(duì)，18萬(wàn)美元。

　　值得注意的是，在某些情況下，白帽黑客仍然可以通過(guò)他們的漏洞利用獲利數(shù)萬(wàn)美元，即使他們利用了之前向受影響的供應(yīng)商披露的漏洞。

　　在本屆Pwn2Own大賽中，還沒(méi)有人試圖入侵電視和外部存儲(chǔ)設(shè)備。

　　供應(yīng)商已經(jīng)得到了在競(jìng)賽中被利用的漏洞的詳細(xì)信息，他們將有120天的時(shí)間發(fā)布補(bǔ)丁。

　　雖然就漏洞利用嘗試入侵成功的次數(shù)而言，這次奧斯汀黑客大賽是最大的Pwn2Own，但支付的獎(jiǎng)金總額略低于4月份舉辦的 Pwn2Own，那次參與者因入侵Safari、Chrome、Edge、Windows 10、Ubuntu、Microsoft Teams、Zoom、Parallels 和 Microsoft Exchange獲得了超過(guò)120萬(wàn)美元的獎(jiǎng)金 。