Pwn2Own Ireland 2025’in ikinci gününde siber güvenlik araştırmacıları, 56 sıfır gün açığını kullanarak toplam 792.750 dolar ödül kazandı. Etkinlikte akıllı telefonlardan ağ depolama sistemlerine kadar birçok cihaz test edildi.
Samsung Galaxy S25 Beş Farklı Açıkla Ele Geçirildi
Etkinliğin en dikkat çeken anı, Mobile Hacking Lab’den Ken Gannon ile Summoning Team üyesi Dimitrios Valsamaras’ın Samsung Galaxy S25 cihazını beş farklı güvenlik açığını zincirleyerek ele geçirmesi oldu. Bu başarı, ekibe 50.000 dolar ödül ve 5 “Master of Pwn” puanı kazandırdı.
It's confirmed! Ken Gannon / 伊藤 剣 (@yogehi) of Mobile Hacking Lab, and Dimitrios Valsamaras (@Ch0pin) of Summoning Team (@SummoningTeam) used five different bugs to exploit the #Samsung Galaxy S25. They earn $50,000 and 5 Master of Pwn points. #Pwn2Own pic.twitter.com/kSDEjYK3w6
— Trend Zero Day Initiative (@thezdi) October 22, 2025
PHP Hooligans ekibi, yalnızca bir saniyede QNAP TS-453E NAS cihazındaki bir açığı kullanarak sisteme sızmayı başardı. Ancak kullanılan açık daha önce istismar edildiği için ödül verilmedi. Buna karşın CyCraft Technology’den Chumy Tsai, Verichains Cyber Force ekibinden Le Trong Phuc ve Cao Ngoc Quy ile Synacktiv ekibinden Mehdi ve Matthieu, QNAP TS-453E, Synology DS925+ ve Philips Hue Bridge cihazlarını başarıyla hedef alarak 20.000’er dolar kazandı.
Overheard at #Pwn2Own: This exploit will take 1 second.
Seen at #Pwn2Own: PHP Hooligans take 1 second to run their exploit of the QNAP TS-453E.
They head off to the disclosure room to explain the hours of work that lead to that 1 second demo.
— Trend Zero Day Initiative (@thezdi) October 22, 2025
Katılımcılar ayrıca Canon imageCLASS MF654Cdw yazıcısı, Synology CC400W kamera, Amazon Smart Plug, Lexmark CX532adwe yazıcısı ve Home Automation Green sistemi üzerinde de güvenlik açıkları tespit etti.
İlk iki günün sonunda Summoning Team, toplam 18 puan ve 167.500 dolar ödülle liderliğini sürdürdü. Etkinliğin ilk gününde 34 yeni açık keşfedilmiş, toplam 522.500 dolar ödül dağıtılmıştı. Yarışma sonunda üretici firmaların bu açıklar için 90 gün içinde güvenlik yamalarını yayınlaması gerekiyor.
Etkinliğin üçüncü gününde araştırmacılar, yeniden Samsung Galaxy S25 modelini, farklı NAS cihazlarını ve yazıcıları test edecek. Team Z3 ekibinden Eugene, WhatsApp üzerinde uzaktan kod çalıştırılmasına imkân tanıyan “Zero-Click” açığını göstermeyi planlıyor. Bu açığın başarılı şekilde kullanılması hâlinde 1 milyon dolar ödül kazanılabilecek.
21-24 ekim tarihleri arasında İrlanda’nın Cork kentinde düzenlenen etkinliğe Meta, Synology ve QNAP sponsor oldu. Bu yılki yarışma, akıllı telefonlar, yazıcılar, ağ depolama cihazları, mesajlaşma uygulamaları, akıllı ev sistemleri, güvenlik kameraları ve giyilebilir teknolojiler dâhil sekiz farklı kategoriyi kapsıyor.
Yeni dönemde araştırmacılar, USB bağlantısı üzerinden fiziksel erişimle kilitli telefonları hackleme yeteneklerini de sergiliyor. Wi-Fi, Bluetooth ve NFC gibi kablosuz bağlantı yöntemleri de saldırı vektörleri arasında yer alıyor.
Geçen yılki Pwn2Own Ireland 2024’te 70’ten fazla sıfır gün açığı kullanılmış, hacker’lar 1.078.750 dolar kazanmıştı. Viettel Cyber Security ekibi, QNAP, Sonos ve Lexmark açıklarını kullanarak 205.000 dolar ödülle yılın en başarılı takımı olmuştu. ZDI ekibi, ocak 2026’da Tokyo’daki Automotive World teknoloji fuarında Tesla sponsorluğunda düzenlenecek üçüncü Pwn2Own Automotive etkinliğiyle yarışmayı otomotiv alanına taşıyacak.
