Durante o evento de hacking Pwn20wn Toronto 2023, foram reveladas quatro vulnerabilidades de Dia Zero nos smartphones Galaxy S23 e Xiaomi 13 Pro. Os resultados dessas descobertas foram divulgados em tempo real, e os pesquisadores premiados receberam valores que variaram de US$ 20 mil a US$ 50 mil.
O Grande Prêmio do evento, no valor de US$ 50 mil e 5 pontos Master of Pwn, foi conquistado pela equipe da Pentest Limited, que demonstrou com sucesso uma vulnerabilidade de “Validação de entrada inadequada”. Essa brecha permitia a manipulação das entradas do sistema, possibilitando o redirecionamento do fluxo de dados e, em última análise, a execução de código arbitrário.
A equipe STAR Labs SG recebeu o segundo prêmio, no valor de US$ 25 mil e 5 pontos Master of Pwn, ao identificar uma extensa lista de entradas permitidas no Galaxy S23, tornando o sistema mais suscetível a ataques.
No que diz respeito ao Xiaomi 13 Pro, o Team Viettel ganhou o prêmio principal de US$ 40 mil e 4 pontos Master of Pwn por realizar com sucesso um ataque de bug único no dispositivo, embora detalhes específicos sobre a vulnerabilidade não tenham sido divulgados. O NCC Group também obteve sucesso ao executar um ataque contra o Xiaomi 13 Pro, sendo premiado com US$ 20 mil e 4 pontos Master of Pwn, embora os detalhes sobre a vulnerabilidade permaneçam confidenciais.
Essas descobertas ocorreram no contexto do Pwn20wn Toronto 2023, que faz parte da Zero Day Initiative, um grupo dedicado à identificação segura de vulnerabilidades de Dia Zero e à comunicação privada dessas falhas às empresas envolvidas. O objetivo é permitir que as empresas abordem essas vulnerabilidades antes que possam ser exploradas por criminosos, protegendo assim os consumidores.
A Xiaomi e a Samsung agora têm a oportunidade de trabalhar nas correções necessárias para mitigar essas vulnerabilidades, garantindo a segurança de seus dispositivos e usuários
