Ved det netop afsluttede hackerevent Pwn2Own Ireland fandt etiske hackere bl.a. en nuldagsfejl i en Samsung Galaxy S25, der muliggjorde adgang til telefonens kamera og lokationsdata.
“Et eksempel på, hvordan sårbarheder kan kompromittere både privatliv og forretningsdata,” siger danske Jonas Hvarness Sebøk-Grandal fra cybersikkerhedsfirmaet Trend Micro.
Pwn2Own er en international konkurrence i etisk hacking, hvor deltagerne belønnes for at finde og demonstrere hidtil ukendte sårbarheder i populære produkter, så fejlene kan lukkes, inden de udnyttes af cyberkriminelle.
Virksomheder bør genoverveje risikostyring for mobile enheder
I alt blev der opdaget 73 hidtil ukendte sårbarheder i smartphones, routere, netværks-storage, smarte højttalere og andre forbundne enheder, da verdens førende sikkerhedsforskere i den indeværende uge dystede i etisk hacking ved Pwn2Own Ireland 2025.
Bag konkurrencen står cybersikkerhedsfirmaet Trend Micro gennem sit Zero Day Initiative (ZDI), som udbetalte mere end 1 mio. dollars i præmier til deltagerne. De fundne sårbarheder videregives til producenterne, så de kan udarbejde sikkerhedsopdateringer, inden fejlene udnyttes af cyberkriminelle.
Jonas Hvarness Sebøk-Grandal
“Et angreb, der giver adgang til kamera og lokation på en almindelig smartphone, er ikke kun et privatlivsproblem — det er en forretningsrisiko. Pwn2Own viser, hvor utroligt hurtigt trusselsbilledet udvikler sig, og for mange danske virksomheder er det en anledning til at genoverveje, om de har en sikkerhedspraksis og risikostyring for bl.a. mobile enheder, der kan følge med udviklingen i 2025,”
siger Jonas Hvarness Sebøk-Grandal, country sales director for Danmark, Grønland og Færøerne, Trend Micro.
Ifølge Trend Micro giver ZDI-programmet i gennemsnit 71 dages forspring i beskyttelse mod nye sårbarheder sammenlignet med branchen som helhed. Den viden integreres direkte i Trend Micros sikkerhedsplatforme og hjælper organisationer med at lukke huller, før de udnyttes.
Højdepunkter fra Pwn2Own Ireland 2025
- Samsung Galaxy S25 – Improper input validation bug, der muliggjorde udnyttelse af kamera og lokationsdata (Ben R. & Georgi G., Interrupt Labs) – præmie: 50.000 USD
- Samsung Galaxy S25 – Fem forskellige bugs udnyttet i samlet demonstration (Ken Gannon / 伊藤 剣, Mobile Hacking Lab & Dimitrios Valsamaras, Summoning Team) – præmie: 50.000 USD
- QNAP Qhora-322 router + QNAP TS-453E NAS – “SOHO Smashup” med otte bugs, herunder multiple injections (Bongeun Koo & Evangelos Daravigkas, Team DDOS) – præmie: 100.000 USD
- Sonos Era 300 smart speaker – Out-of-Bounds access exploit (dmdung, STAR Labs SG Pte. Ltd.) – præmie: 50.000 USD
- Synology ActiveProtect DP320 – Exploit baseret på to sårbarheder (Sina Kheirkhah & McCaulay Hudson, Summoning Team) – præmie: beløb ikke oplyst
- Master of Pwn (samlet vinder): Summoning Team – præmie: 187.500 USD
- Samlet præmiesum: 1.024.750 USD
Forsøg på avanceret WhatsApp-eksploit trukket tilbage
Team Z3 planlagde at demonstrere en mulig “zero-click”-sårbarhed i WhatsApp — en kategori, der i Pwn2Own-programmet kan udløse præmier på op til 1 mio. USD for en fuldt fungerende exploit uden brugerinteraktion.
Teamet valgte dog at trække demonstrationen, da researchen ikke var klar til offentlig fremvisning. Resultaterne blev i stedet delt privat med Trend Micros ZDI-team og Meta, så eventuelle sårbarheder kan vurderes og lukkes ansvarligt.
Næste event:
Pwn2Own Automotive afholdes i Tokyo, Japan, 21.–23. januar 2026.
