據Security Affairs 消息，一年一度的世界級黑客大賽 Pwn2Own 2022于當地時間12月6日在多倫多正式開賽。比賽的第一天，三星最新款旗艦手機Galaxy S22就兩度被攻破。

三星 Galaxy S22運行了最新版本的 Android 操作系統，并安裝了所有可用的安全更新，但還是招架不住參賽白帽黑客們的猛烈攻勢。STAR 實驗室團隊率先利用該設備存在的零日漏洞成功執行了不正確的輸入驗證攻擊，并因此獲得了5萬美元獎金和 5 個 Master of Pwn 積分。

隨后，另一位參賽者 Chim 也通過執行不正確的輸入驗證攻擊攻破了三星 Galaxy S22，并獲得了2.5萬美元獎金和 5 個 Master of Pwn 積分。

無獨有偶，在去年舉辦的Pwn2Own上，三星當時最新的旗艦手機Galaxy S21也同樣“被黑”。

根據Pwn2Own比賽規則，針對同一設備進行挑戰的第一名獲勝者將獲得全額獎金，所有其他后續獲勝者將獲得 50% 的獎金，但都會獲得相同的Master of Pwn 積分。

Pwn2Own 2022已經是連續第10屆圍繞針對消費者級別的設備進行，本屆大賽將圍繞手機、無線路由器、家庭自動化中心、打印機、智能揚聲器、NAS設備、SOHO Smashup七大類別展開，獎池金額超過100萬美元。

在手機類別中，如果能攻破谷歌Pixel 6 和 蘋果 iPhone 13，將可最高獲得20萬美元獎金，如果攻擊以內核級權限執行，攻擊 谷歌和蘋果設備也可以獲得 5萬美元獎金。對于具有內核級訪問權限的完整攻擊鏈，單次挑戰的最高獎勵總額可達25萬美元。

在本屆大賽中，SOHO SMASHUP作為新類別，安全創業公司戴夫寇爾（DEVCORE）已成為有史以來第一個成功利用兩種不同的基于堆棧的緩沖區溢出攻擊攻破 Mikrotik 路由器和佳能打印機的團隊。該團隊獲得了 10 萬美元獎金和 10 個 Master of Pwn 積分。