Ричард Чжу и Амат Кама, два специалиста по кибербезопасности (white hat хакеры), недавно объединились на конкурсе Mobile Pwn2Own в Токио и заработали приз в размере 60 000 долларов после обнаружения уязвимости в iPhone, согласно записи в блоге на сайте Zero Day Initiative.

Пара хакеров использовала уязвимость в Safari на iPhone X под управлением iOS 12.1 для получения удаленной недавно удаленной фотографии с устройства. Хакеры использовали вредоносную точку доступа Wi-Fi для эксплуатации уязвимости компилятора just-in-time (JIT).

Эксплойт, обнаруженный двумя хакерами, также может быть использован для доступа к дополнительным файлам помимо удаленных фотографий; удаленная фотография просто оказалась первым файлом, найденным хакерами, и поэтому использовалась в качестве демонстрации.

Далее Амат и Ричард вернулись в категорию «Короткая дистанция». На этот раз они нацелились на iPhone X через Wi-Fi. Они использовали пару ошибок – уязвимость JIT в веб-браузере, за которой последовала ошибка записи вне границ (Out-Of-Bounds write) для побега из песочницы и повышения привилегий. Успешная демонстрация принесла им еще 60 000 долларов США и 10 дополнительных баллов Master of Pwn. Это завершает их первый день соревнований с 140 000 долларами США и уверенным лидерством в гонке Master of Pwn с 31 баллом.

Благодаря призовым деньгам и баллам, полученным за уязвимость iPhone, а также другим эксплойтам, продемонстрированным на мероприятии, Чжу и Кама завоевали титул «Master of Pwn».

Apple была уведомлена об уязвимости и, вероятно, устранит ее в предстоящем обновлении iOS.