Ежегодный конкурс Mobile Pwn2Own от Trend Micro состоялся сегодня в Токио, Япония, на конференции по безопасности PacSec. Исследователи безопасности пытались взломать iPhone 7, Samsung Galaxy S8, Google Pixel и Huawei Mate 9 Pro, чтобы выиграть призы на общую сумму более 500 000 долларов.

iPhone 7 от Apple, работающий под управлением новейшей версии операционной системы iOS 11.1, был успешно взломан дважды командой Tencent Keen Security Lab. Первая атака была направлена на уязвимость Wi-Fi и принесла команде 110 000 долларов и 11 очков Master of Pwn, а вторая атака на браузер Safari принесла Tencent Keen Security Lab 45 000 долларов и 12 очков Master of Pwn.

Они использовали в общей сложности четыре уязвимости для получения выполнения кода и повышения привилегий, что позволило их вредоносному приложению сохраняться после перезагрузки. За эксплойт Wi-Fi они получили 60 000 долларов и 50 000 долларов за бонус за сохранение — всего 110 000 долларов и 11 очков Master of Pwn.

Команда Tencent Keen Security Lab снова приступила к работе, на этот раз они атаковали браузер Safari на Apple iPhone 7. Им потребовалось всего несколько секунд, чтобы успешно продемонстрировать свой эксплойт, который требовал всего две уязвимости — одну в браузере и одну в системной службе, чтобы их вредоносное приложение сохранялось после перезагрузки. Будучи вторыми финишировавшими в категории «Браузер», они получили половину денежного приза в размере 45 000 долларов, но при этом заработали полные 13 очков Master of Pwn.

Исследователь безопасности Ричард Чжу также смог использовать две уязвимости для эксплуатации браузера Safari и выхода из «песочницы», чтобы успешно запустить код на iPhone 7, заработав 25 000 долларов и 10 очков Master of Pwn.

Помимо iPhone 7, исследователи смогли найти эксплойты для Samsung Galaxy S8 и Huawei Mate 9 Pro, заработав в общей сложности 350 000 долларов.

Trend Micro проводит Pwn2Own с целью продвижения своей программы Zero Day Initiative, призванной вознаграждать исследователей безопасности за раскрытие серьезных уязвимостей технологическим компаниям, таким как Apple и Google.

Соревнования Pwn2Own продолжатся до завтра, поэтому возможны новые обнаруженные эксплойты. Известно, что представители Apple посещали соревнования Pwn2Own в прошлые годы, и все обнаруженные уязвимости раскрываются Apple. Затем у компании есть 90 дней, чтобы выпустить исправления для всех ошибок, связанных с iOS, прежде чем они будут публично раскрыты.