Pwn2Own findet seit 2007 jährlich statt und ist einer der größten und renommiertesten Cybersicherheitswettbewerbe der Welt . Hier konkurrieren Teams aus White-Hat-Hackern und Sicherheitsforschern aus der ganzen Welt darum, Zero-Day-Schwachstellen (bisher unbekannte Sicherheitslücken) auf gängigen Geräten wie Smartphones, Überwachungskameras, Bürogeräten und in der von vielen Unternehmen verwendeten Software zu finden und auszunutzen.

Bei Pwn2Own 2024 entdeckte und nutzte Viettels Cybersicherheitsteam 9 Zero-Day-Schwachstellen auf Produkten von HP, Canon, Synology, QNAP Systems… und erreichte insgesamt 33 Punkte, fast doppelt so viele wie das zweitplatzierte Team, Team Cluck aus den USA, mit 17,25 Punkten. Als nächstes auf der Liste stehen Midnight Blue aus Europa, Neodyme aus Deutschland und DEVCORE aus Taiwan (China), die alle an Pwn2Own und anderen Sicherheitswettbewerben teilgenommen und gute Ergebnisse erzielt haben.

Die Belohnung für jede gefundene Schwachstelle beträgt 20.000 bis 50.000 USD und der Gesamtpreis bei Pwn2Own beträgt etwa 1 Million USD, wovon Viettels Cybersicherheitsteam mehr als 200.000 USD erhielt. Die von VCS entdeckten Schwachstellen helfen den Herstellern außerdem dabei, die Gerätesicherheit zu verbessern und die Offenlegung von Bildern und Daten der Personen und Unternehmen, die die Geräte verwenden, zu verhindern.

Pwn2Own 2024 umfasst acht Kategorien und konzentriert sich auf Geräte, die künstliche Intelligenz (KI) integrieren. Sicherheitsexperten müssen dafür nicht nur den Quellcode verstehen, sondern auch wissen, wie KI-Systeme Daten speichern und verarbeiten und in Geräten funktionieren. Dabei nutzte das Cybersicherheitsteam von Viettel erfolgreich die Kategorien Überwachungskameras, intelligente Lautsprecher, Drucker, Network Attached Storage-Geräte (NAS) und Bürorouter (SOHO).

Die Herausforderung in diesem Jahr besteht darin, dass die meisten KI-Geräte über eine auf maschinellem Lernen basierende Benutzererkennung und -authentifizierung verfügen, die automatisch aktualisiert und angepasst wird, um ungewöhnliches Verhalten zu erkennen (auch als dynamischer Schutz bekannt). Dadurch wird es schwieriger, Schwachstellen zu finden und Geräte zu übernehmen.

Auch diese Geräte werden von großen Technologieunternehmen entwickelt, strengen Tests unterzogen und erhalten kontinuierliche Sicherheitsupdates. Pwn2Own ist also nicht nur ein Wettbewerb zwischen Sicherheitsforschungsgruppen, sondern auch ein „Wettbewerb“ mit großen Technologieunternehmen.

Auf jedem Gerät untersucht VCS den Quellcode und testet mögliche Angriffsszenarien. Das Team identifiziert schwierige Schwachstellen, bei denen die Wahrscheinlichkeit einer Duplizierung mit anderen Teams gering ist, um sie live zu demonstrieren und Zugriff auf das Gerät oder dessen Kontrolle zu erhalten. (Doppelte Schwachstellen werden nicht als gültig angesehen.)

Nach dem Gesetz über geistiges Eigentum und Innovation