Siber güvenlik dünyasının en prestijli “hack” yarışması olan Pwn2Own Ireland 2025, nefes kesen anlara sahne oluyor. 21-24 Ekim tarihleri arasında Cork’ta düzenlenen etkinlikte, dünyanın dört bir yanından gelen güvenlik araştırmacıları, en yeni cihaz ve yazılımlardaki sıfır gün (zero-day) açıklarını bulmak için kıyasıya bir mücadele veriyor.
Etkinliğin henüz ilk iki günü geride kalmasına rağmen, bulunan açık sayısı ve dağıtılan ödül miktarı, bu yılın ne kadar iddialı geçtiğini kanıtladı.
İki Günlük Bilanço: 56 Açık, 792.750 Dolar Ödül
Etkinliğin ikinci günü sonunda, araştırmacılar tarafından toplam 56 farklı sıfır gün açığı başarıyla istismar edildi. Bu başarılar, katılımcılara toplam 792.750 Dolar para ödülü kazandırdı.
Günün en çok konuşulan olayı, Mobile Hacking Lab’dan Ken Gannon ve Summoning Team’den Dimitrios Valsamaras’ın, Samsung Galaxy S25’i beş farklı güvenlik açığını zincirleyerek hacklemesi oldu. Bu karmaşık istismar, ekibe 50.000 Dolar ve 5 Master of Pwn puanı getirdi.
Diğer öne çıkan anlar ise şunlardı:
- 1 Saniyelik Hack: PHP Hooligans ekibi, bir QNAP TS-453E NAS cihazını sadece bir saniye içinde hackledi (ancak açık daha önce bulunduğu için puan alamadılar).
- Cihazlar Bir Bir Düştü: Araştırmacılar; Canon ve Lexmark yazıcılar, Amazon Smart Plug, Synology kameralar ve Philips Hue Bridge gibi birçok popüler cihazda kritik açıklar buldu.
Gözler Üçüncü Günde: 1 Milyon Dolarlık WhatsApp Açığı Denemesi!
Pwn2Own’un son günü, etkinliğin en büyük ödülüne sahne olabilir. Team Z3’den Eugene adlı araştırmacı, WhatsApp üzerinde “zero-click” (kullanıcının hiçbir şeye tıklamasına gerek kalmayan) bir uzaktan kod yürütme (RCE) hatasını göstermeye çalışacak.
Eğer bu deneme başarılı olursa, araştırmacı tek başına tam 1 Milyon Dolarlık rekor bir ödülün sahibi olacak. Bu deneme, tüm siber güvenlik dünyası tarafından yakından takip ediliyor.
Liderlik Tablosu ve Süreç
İlk iki günün sonunda Summoning Team, 167.500 Dolarlık kazanç ve 18 puanla “Master of Pwn” liderlik tablosunda zirvede yer alıyor.
Yarışma kuralları gereği, bulunan tüm bu kritik açıklar, detaylarıyla birlikte üretici firmalara (Samsung, QNAP, Meta vb.) iletiliyor. Üreticilerin, bu açıkları kapatan güvenlik yamalarını yayınlamak için 90 günlük bir süresi bulunuyor.
Bu Yılın Hedefleri ve Yeni Tehditler
Meta, Synology ve QNAP gibi devlerin sponsor olduğu etkinlikte, sekiz ana kategori bulunuyor. Amiral gemisi telefonlar (Samsung Galaxy S25, Apple iPhone 16, Google Pixel 9), yazıcılar, NAS sistemleri ve akıllı ev cihazları hedeflerin başında geliyor.
Bu yılın en dikkat çekici yeniliği ise saldırı vektörlerine USB portunun da eklenmesi oldu. Araştırmacılar, kilitli bir telefona fiziksel olarak USB üzerinden bağlanarak erişim sağlamayı deniyorlar. Elbette Wi-Fi, Bluetooth ve NFC gibi kablosuz protokoller de ana hedefler arasında.
Geçen yıl 1 Milyon Doların üzerinde ödül dağıtılan Pwn2Own, siber güvenliğin sınırlarını zorlamaya devam ediyor. Gelecek yıl ise Tokyo’da Tesla sponsorluğunda Pwn2Own Automotive yarışması düzenlenecek.
