Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Pwn2Own Irland: Hacker knacken Samsung Galaxy S25 und mehr

Attackiert wurden unter anderem Drucker , NAS -Systeme, Smartphones und Lautsprecher. Hersteller müssen insgesamt 73 neue Zero-Day- Lücken patchen.
/ Marc Stöckel
Kommentare News folgen (öffnet im neuen Fenster)
Das Samsung Galaxy S25 war eines von vielen Zielobjekten beim Pwn2Own-Wettbewerb. (Bild: JUNG YEON-JE/AFP via Getty Images)
Das Samsung Galaxy S25 war eines von vielen Zielobjekten beim Pwn2Own-Wettbewerb. Bild: JUNG YEON-JE/AFP via Getty Images

Die Zero Day Initiative (ZDI) von Trend Micro hat in den letzten Tagen wieder den Hackerwettbewerb Pwn2Own veranstaltet. Teilnehmer nutzten dabei zuvor unbekannte Sicherheitslücken in zahlreichen Produkten aus, darunter auch Samsungs aktuelles Premium-Smartphone Galaxy S25. Die ausgezahlten Preise summieren sich auf insgesamt 1.024.750 US-Dollar.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Softwareentwickler*in im Projekt „Aufbau eines Netzwerkes und Services zu Forschungsinformationen (FIS)“ Leuphana Universität Lüneburg, Lüneburg (öffnet im neuen Fenster)
Softwareentwickler Giro- und Passiv-Steuerung (m/w/d) Finanz Informatik GmbH & Co. KG, Frankfurt am Main,Hannover,Münster (öffnet im neuen Fenster)
Business Analyst Risikocontrolling (m/w/d) Finanz Informatik GmbH & Co. KG, Frankfurt am Main,Münster,Hannover (öffnet im neuen Fenster)
Consultant (m/w/d) im Bereich Informationssicherheit / Cyber-Security BBH Consulting AG, München (öffnet im neuen Fenster)
Technischer Experte (m/w/d) Batteriesysteme Bahn - Internationaler Service & Support HOPPECKE Systemtechnik GmbH, Zwickau (öffnet im neuen Fenster)
SAP Inhouse Berater PLM / Variantenkonfiguration (m/w/d) Max Weishaupt SE, Schwendi (öffnet im neuen Fenster)
Application Analyst - SAP ERP & Cloud (m/w/d) GEBHARDT Fördertechnik GmbH, Sinsheim (öffnet im neuen Fenster)
Software Developer (m/w/d)* Alte Leipziger Lebensversicherung a. G., Oberursel (öffnet im neuen Fenster)

Die Ergebnisse des in Irland ausgetragenen Events sind in mehreren Blogbeiträgen nachzulesen. An Tag 1(öffnet im neuen Fenster) wurde mit 522.500 US-Dollar schon mehr als die Hälfte des Geldes ausgeschüttet.

Nach Tag 2(öffnet im neuen Fenster) stand der Preisgeld-Zähler bei insgesamt 792.750 US-Dollar. Die Millionen-Dollar-Marke wurde an Tag 3(öffnet im neuen Fenster) erreicht.

Gewinnerteams und attackierte Geräte

Die Top-5-Gewinnerteams nach Punkten sind: Summoning Team (187.500 US-Dollar / 22 Punkte), ANHTUD (76.750 US-Dollar / 11,5 Punkte), Synacktiv (90.000 US-Dollar / 11 Punkte), Team DDOS (110.000 US-Dollar / 10 Punkte) und Viettel Cyber Security (45.000 US-Dollar / 9,25 Punkte).

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Erfolgreich attackiert wurden unter anderem die Drucker HP Deskjet 2855e, Canon Color Imageclass MF654Cdw und Lexmark CX532adwe, eine Philips Hue Bridge, der Lautsprecher Sonos Era 300, die Smart-Home-Lösung Home Assistant Green, ein Samsung Galaxy S25 sowie mehrere Produkte von Synology und QNAP. Ein Team nutzte zur Unterstützung sogar ChatGPT.

Whatsapp-Exploit zurückgezogen

Das Team Z3 hatte sich ursprünglich vorgenommen, einen Exploit für Whatsapp zu demonstrieren. Dafür hätte es laut Regelwerk(öffnet im neuen Fenster) je nach Charakteristik der ausgenutzten Lücke alleine ein Preisgeld von bis zu einer Million US-Doller erhalten können. Wie die ZDI auf Mastodon mitteilte(öffnet im neuen Fenster) , entschied sich Team Z3 aber kurzfristig dafür, die Lücke doch lieber noch unter Verschluss zu halten.

Das Team halte seine Forschung noch nicht für bereit, um der Öffentlichkeit präsentiert zu werden, hieß es. Es werde seine Erkenntnisse zunächst zur Überprüfung der ZDI vorlegen. Danach soll die Schwachstelle an Meta gemeldet werden. Securityweek(öffnet im neuen Fenster) zitiert einen der Forscher von Team Z3 mit den Worten, man wolle die Sache lieber persönlich und abseits der Öffentlichkeit mit der ZDI und Meta regeln.

Bei Pwn2Own Irland 2025 wurden insgesamt 73 Zero-Day-Lücken entdeckt und im Rahmen des Wettbewerbs an die jeweiligen Hersteller gemeldet. Diese haben nun wie gewohnt einige Wochen Zeit, um die Sicherheitslücken zu schließen und entsprechende Patches bereitzustellen. Weitere Details werden aus Sicherheitsgründen erst danach offengelegt.

Zur Startseite Kommentare

Relevante Themen

SecuritySicherheitslückeUpdates & PatchesMetaHackerSynologySonosWhatsapp