Trend Micro ehrt die Leistung der Sicherheitsforschergemeinschaft im Rahmen des Hacking-Wettbewerbs Pwn2Own Ireland 2025. Die Teilnehmer entdeckten und meldeten vergangene Woche im irischen Cork insgesamt 73 bislang unbekannte Zero-Day-Schwachstellen in Druckern, Netzwerkspeichern (NAS-Systeme), Smart-Home-Geräten, Überwachungssystemen, Heimnetzwerktechnik, Smartphones und Wearables.
Der Gesamtsieg und der Titel „Master of Pwn“ ging an das Summoning Team, das sich über ein Preisgeld von rund 173.000 Euro freuen konnte. Das Team zeigte einige spektakuläre Exploits in verschiedenen Kategorien, und wird für seine harte Arbeit bei der Vorbereitung mit dem Gewinn des „Master of Pwn“ belohnt.
Insgesamt schüttete die Trend Zero Day Initiative bei der Veranstaltung 1.024.750 US-Dollar (etwa 880.000 Euro) an Preisgeldern aus. Dank der dort gewonnenen Erkenntnisse kann Trend seine Kunden im Schnitt schon 71 Tage früher vor Zero-Day-Exploits schützen, bevor die betroffenen Hersteller die Schwachstellen schließen. Ein entscheidender Vorsprung im Wettlauf mit Cyberkriminellen.
Das Event bot zahlreiche Höhepunkte:
- Ben R. und Georgi G. von Interrupt Labs nutzten eine Schwachstelle bei der Eingabevalidierung, um ein Samsung Galaxy S25 – einschließlich Kamera und Standortfunktion – zu kompromittieren und erhielten dafür rund 46.000 Euro.
- Ken Gannon (Mobile Hacking Lab) und Dimitrios Valsamaras (Summoning Team) kombinierten fünf Schwachstellen, um ebenfalls ein Samsung Galaxy S25 zu attackieren, und erhielten rund 46.000 Euro.
- Bongeun Koo und Evangelos Daravigkas (Team DDOS) setzten acht Schwachstellen, darunter mehrere Injections, ein, um ein „SOHO Smashup“ des QNAP Qhora-322-Routers und des QNAP TS-453E NAS durchzuführen – Preisgeld: rund 92.000 Euro.
- dmdung (STAR Labs SG Pte. Ltd.) nutzte einen Out-of-Bounds-Access-Bug, um den Sonos Era 300 Smart Speaker zu kompromittieren, und bekam dafür rund 46.000 Euro.
- Sina Kheirkhah und McCaulay Hudson (Summoning Team) fanden zwei Schwachstellen, um das Synology ActiveProtect Appliance DP320 anzugreifen. Ihnen werden dafür ca. 46.000 Euro ausgezahlt.
- Team Z3 zog seinen Versuch eines Zero-Click-Exploits für WhatsApp zwar zurück, teilte seine Erkenntnisse aber mit der Trend ZDI und Meta, damit mögliche Lücken geschlossen werden können.
„Unser Ziel ist es, Sicherheit proaktiv anzugehen und die tiefgreifendste Threat Intelligence der Branche zu generieren. Die 73 aufgedeckten Zero-Day-Schwachstellen tragen direkt dazu bei, die digitale Welt sicherer zu machen. “, so Rachel Jin, Chief Platform and Business Officer bei Trend Micro.
„Wir sind stolz darauf, Hersteller beim Schließen dieser Lücken zu unterstützen – und unseren Kunden Schutz zu bieten, noch bevor entsprechende Updates verfügbar sind. Angesichts steigender Cyberrisiken weltweit bleibt Pwn2Own ein wichtiges Instrument, um Angreifern einen Schritt voraus zu sein.“
Die nächste Veranstaltung, Pwn2Own Automotive, findet vom 21. bis 23. Januar 2026 in Tokio statt.