Pwn2Own 2021奥斯汀黑客大赛公布类别、目标及奖金

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Pwn2Own 秋季黑客大赛关注的一贯是客户设备，始于2012年，当时只包含移动手机类别。次年，大赛在东京举办，包含 PacSec 应用安全大会；数年后包括电视、可穿戴设备和智能扬声器；去年，大赛在多伦多举办并增加网络附加存储 (NAS) 设备；而今年将增加路由器和打印机设备。

ZDI 指出，本届大赛仍然支持远程参与，仍然通过随机抽签决定第一天的比赛次序并在后续按照该顺序竞赛。本届大赛的活动合作伙伴是西部数据，Synology 是共同赞助伙伴，这两家厂商的设备是安全研究员的主要目标。

Pwn2Own 奥斯汀大赛（最初名为“Pwn2Own移动大赛”）的核心关注点在于手机。和往常一样，这些手机将运行各自的最新版操作系统。竞赛选手必须通过在默认浏览器中浏览 web 内容的方式攻陷设备，或者通过与短距离协议（NFC、WiFi或蓝牙）的通信攻陷设备。该类别的目标设备、奖金及积分点如下。

该类别还包括了额外奖金。如果选手的 exploit payload 以内核级别权限执行，则可获得额外奖金5万美元以及5个额外积分点。也就是说内核级别权限的完整的 iPhone 或 Pixel 浏览器 exploit 将获得20万美元的奖金。

大赛选手必须从选手设备对目标的被暴露网络服务发动攻击。大赛囊括了近期最热门的三款 LaserJet 打印机。

这是Pwn2Own 大赛第二次包括 NAS 设备，Synology 和西部数据提供了最新产品。大赛选手必须在大赛网络从选手笔记本攻击目标的被暴露网络服务。

虽然外部存储设备不如NAS服务器复杂，但也是备受攻击者青睐。今年的大赛仅包含一个单独设备。大赛选手必须攻击目标的被暴露界面并引发任意代码执行后果。

智能扬声器在我们和音乐、新闻等交互中仍然占据重要地位，本次大赛包括五个目标：

此前仅是展示 LED 灯亮等，而这次的路由器类别增加了更复杂的内容。选手必须在大赛网络内从选手设备攻击目标的被暴露网络服务。

当前很少见不设置 web 浏览器和网络应用程序的电视机，本次大赛包括两个设备：

没有 Master of Pwn （破解冠军）的Pwn2Own 大赛是不完整的，它说明了大赛总冠军的重要性。大赛冠军将获得华丽奖杯、一款可穿戴设备以及6.5万分的ZDI积分点。大赛将在东部时间2021年10月29日下午5点停止注册。