Trend Micro vergibt eine Million US-Dollar an ethische Hacker
Beim Pwn2Own Ireland 2025 entdeckten Sicherheitsforscher 73 Zero-Day-Schwachstellen in Smartphones, NAS-Systemen und IoT-Geräten. Ziel sei es, die digitale Welt sicherer zu machen.
Trend Micro, weltweit tätiger Anbieter von Cybersicherheitslösungen, ehrt die Leistung der globalen Sicherheitsforschergemeinschaft im Rahmen des Hacking-Wettbewerbs Pwn2Own Ireland 2025 seiner Trend Zero Day Initiative.
Die Teilnehmer entdeckten und meldeten vergangene Woche im irischen Cork insgesamt 73 bislang unbekannte Zero-Day-Schwachstellen in Druckern, Netzwerkspeichern (NAS-Systeme), Smart-Home-Geräten, Überwachungssystemen, Heimnetzwerktechnik, Smartphones und Wearables. Für Einsteiger in dieses Thema: Der Name Pwn2Own ist laut Wikipedia „Netzjargon und vom Umstand abgeleitet, dass der Teilnehmer das Gerät hacken (pwn) muss, um es zu gewinnen und damit zu besitzen (own).“
Der Gesamtsieg und der Titel „Master of Pwn“ ging an das Summoning Team, das sich über ein Preisgeld von rund 173.000 Euro freuen konnte. Das Team zeigte einige spektakuläre Exploits in verschiedenen Kategorien und wurde laut Trend Micro für seine harte Arbeit bei der Vorbereitung belohnt.
Insgesamt schüttete die Trend Zero Day Initiative bei der Veranstaltung 1.024.750 US-Dollar (etwa 880.000 Euro) an Preisgeldern aus. Dank der dort gewonnenen Erkenntnisse kann Trend seine Kunden im Schnitt schon 71 Tage früher vor Zero-Day-Exploits schützen, bevor die betroffenen Hersteller die Schwachstellen schließen. Ein entscheidender Vorsprung im Wettlauf mit Cyberkriminellen.
Ben R. und Georgi G. von Interrupt Labs nutzten eine Schwachstelle bei der Eingabevalidierung, um ein Samsung Galaxy S25 – einschließlich Kamera und Standortfunktion – zu kompromittieren und erhielten dafür rund 46.000 Euro Preisgeld.
Ken Gannon (Mobile Hacking Lab) und Dimitrios Valsamaras (Summoning Team) kombinierten fünf Schwachstellen, um ebenfalls ein Samsung Galaxy S25 zu attackieren, und erhielten rund 46.000 Euro.
Bongeun Koo und Evangelos Daravigkas (Team DDOS) setzten acht Schwachstellen, darunter mehrere Injections, ein, um ein „SOHO Smashup“ des QNAP Qhora-322-Routers und des QNAP TS-453E NAS durchzuführen – Preisgeld: rund 92.000 Euro.
dmdung (STAR Labs SG Pte. Ltd.) nutzte einen Out-of-Bounds-Access-Bug, um den Sonos Era 300 Smart Speaker zu kompromittieren, und bekam dafür rund 46.000 Euro.
Sina Kheirkhah und McCaulay Hudson (Summoning Team) fanden zwei Schwachstellen, um das Synology ActiveProtect Appliance DP320 anzugreifen. Ihnen werden dafür ca. 46.000 Euro ausgezahlt.
Team Z3 zog seinen Versuch eines Zero-Click-Exploits für WhatsApp zwar zurück, teilte seine Erkenntnisse aber mit der Trend ZDI und Meta, damit mögliche Lücken geschlossen werden können.
Die nächste Veranstaltung, Pwn2Own Automotive, findet vom 21. bis 23. Januar 2026 in Tokio statt.
„Unser Ziel ist es, Sicherheit proaktiv anzugehen und die tiefgreifendste Threat Intelligence der Branche zu generieren“, so Rachel Jin, Chief Platform and Business Officer bei Trend Micro. „Die 73 aufgedeckten Zero-Day-Schwachstellen tragen direkt dazu bei, die digitale Welt sicherer zu machen. Wir sind stolz darauf, Hersteller beim Schließen dieser Lücken zu unterstützen – und unseren Kunden Schutz zu bieten, noch bevor entsprechende Updates verfügbar sind. Angesichts steigender Cyberrisiken weltweit bleibt Pwn2Own ein wichtiges Instrument, um Angreifern einen Schritt voraus zu sein.“
