Pwn2Own Day 2: Peneliti Keamanan Eksploitasi 56 Zero-Day dan Raih $790.000

Ajang Pwn2Own Ireland 2025 kembali mencetak rekor dengan keberhasilan para peneliti keamanan mengeksploitasi 56 celah zero-day unik hanya dalam satu hari. Total hadiah tunai yang dibagikan pada hari kedua kompetisi ini mencapai $792.750, menjadikannya salah satu babak paling produktif dalam sejarah kontes yang digelar oleh Zero Day Initiative (ZDI) tersebut.

Eksploitasi Spektakuler dan Rekor Baru

Sorotan utama datang dari Ken Gannon (Mobile Hacking Lab) dan Dimitrios Valsamaras (Summoning Team) yang berhasil meretas Samsung Galaxy S25 menggunakan rantai lima celah keamanan sekaligus. Aksi ini diganjar $50.000 dan lima poin “Master of Pwn”, menempatkan keduanya sebagai tim unggulan di papan klasemen.

Sementara itu, tim PHP Hooligans hanya membutuhkan satu detik untuk menembus perangkat NAS QNAP TS-453E. Namun, karena kerentanan tersebut sudah pernah digunakan sebelumnya dalam kontes, hadiah mereka tidak digandakan.

Tak kalah impresif, kombinasi peretas dari berbagai tim juga meraih hadiah signifikan.

• Chumy Tsai (CyCraft Technology)
• Le Trong Phuc dan Cao Ngoc Quy (Verichains Cyber Force)
• Mehdi & Matthieu (Synacktiv Team)

Mereka masing-masing menerima $20.000 setelah sukses mengeksploitasi sistem QNAP TS-453E, Synology DS925+, dan Phillips Hue Bridge.

Selain itu, para peserta juga menemukan celah baru pada berbagai perangkat lain seperti printer Canon imageCLASS MF654Cdw, kamera Synology CC400W, Amazon Smart Plug, perangkat rumah pintar Green Home Automation, dan printer Lexmark CX532adwe.

Persaingan Ketat Menuju Gelar “Master of Pwn”

Setelah dua hari kompetisi, Summoning Team masih memimpin klasemen dengan 18 poin dan total hadiah $167.500. Pada hari pertama saja, para peneliti telah mendemonstrasikan 34 eksploit zero-day dan mengumpulkan $522.500.

Usai ajang berakhir, para vendor diberikan waktu 90 hari untuk menambal celah sebelum ZDI mengumumkan detail teknisnya secara publik. Hal ini menjadi standar etika industri untuk menjaga keamanan pengguna tanpa menunda transparansi informasi.

Target Hari Terakhir dan Tantangan Besar

Pada hari ketiga — yang juga menjadi babak final — peserta akan kembali menargetkan Samsung Galaxy S25, berbagai perangkat NAS, serta printer jaringan. Salah satu momen yang paling dinantikan adalah upaya Eugene dari Team Z3 untuk mendemonstrasikan zero-click remote code execution bug di WhatsApp, yang berpotensi menghadiahkan $1 juta bila berhasil dieksploitasi.

Skala dan Sponsor Pwn2Own 2025

Tahun ini, Pwn2Own Ireland disponsori oleh Meta, Synology, dan QNAP, serta berlangsung pada 21–24 Oktober 2025 di Cork, Irlandia. Kompetisi mencakup delapan kategori besar yang menargetkan:

• Smartphone unggulan (Samsung Galaxy S25, iPhone 16, Google Pixel 9)
• Printer dan perangkat jaringan rumah
• NAS dan kamera pengawas
• Aplikasi pesan instan
• Perangkat pintar dan wearable seperti Meta Quest 3/3S dan Ray-Ban Smart Glasses

Tahun ini juga diperkenalkan vektor serangan baru melalui port USB, di mana peserta harus membobol ponsel yang terkunci melalui koneksi fisik — menambah dimensi baru dalam pengujian keamanan perangkat mobile. Meski begitu, metode klasik seperti Wi-Fi, Bluetooth, dan NFC tetap digunakan.

Sebagai pembanding, pada Pwn2Own Ireland 2024, para peneliti memperoleh total $1.078.750 dari lebih dari 70 zero-day, dengan Viettel Cyber Security menjadi pemenang utama setelah berhasil mengeksploitasi celah di QNAP, Sonos, dan Lexmark.

Menatap ke depan, ZDI dijadwalkan kembali pada Januari 2026 untuk menggelar Pwn2Own Automotive di Tokyo, dalam ajang Automotive World Technology Show, yang kembali disponsori oleh Tesla.

Sumber: BleepingComputer