За первый день Pwn2Own 2017 хакеры заработали 345 тыс долларов

03 Ноябрь 2017

В Токио стартовало крупнейшее в мире соревнование Mobile Pwn2Own 2017 между хакерами. На нем исследователи могут заработать очень внушительные суммы, взламывая современные смартфоны, операционные системы, браузеры и прочие инструменты. В этом году конкурс начался со взлома мобильных устройств. Уже в первый день соревнований «белые» хакеры смогли заработать порядка 345 тысяч долларов.

Исследователям удалось взломать сразу 3 современных смартфона, хотя на конкурсе было представлено 4 мобильных устройства. Не поддался пока только Google Pixel. Но зато подверглись взлому Huawei Mate 9 Pro, Samsung Galaxy S8 и iPhone 7. Причем самым уязвимым оказалось именно последнее устройство. Всего несколько дней назад компания Apple обновила свою мобильную операционную систему до версии iOS 11.1. Как оказалось впоследствии, в ней много дыр.

Больше всего на взломе iPhone 7 удалось заработать команде Tencent Keen Security Lab. Она выявила и успешно проэксплуатировала сразу 4 уязвимости в обновленной операционной системе. С их помощью специалистам удалось удаленно повысить свои привилегии в системе и выполнить произвольный код. За проделанную работу они получили денежное вознаграждение в размере 110 000 долларов.

Одним из самых уязвимых мест этой мобильной ОС хакеры признали браузер Safri. Он тоже несколько раз был подвержен взлому. В нем исследователям удалось обнаружить аж 4 дыры в системе безопасности, при эксплуатации которых можно удаленно установить в веб-обозреватель вредоносное приложение. Эта работа принесла специалистам 60 тысяч долларов.

Еще один хакер Ричард Чжу смог взломать Safari, за что он получил 25 тысяч долларов.

Совершались также в рамках соревнования и попытки взломать Huawei Mate 9 Pro. Не все они увенчались успехом, но все же взломать это устройство удалось. Все те же хакеры из Tencent Keen Security Lab сначала совершили попытку взлома через систему NFC, но позже они смогли создать новый эксплоит, который помог осуществить взлом через радиомодуль, используемый Android. Такой взлом помог хакерам заработать еще 100 тысяч долларов.

Хакеры из этой же команды пытались взломать еще и веб-обозреватель, используемый в смартфонах Samsung Galaxy S8. Для этого тоже использовался специальный эксплоит, но он им не помог. Зато у специалиста из Qihoo360 попытка взлома оказалась успешной. Эксперту удалось удаленно выполнить произвольный код в штатном браузере, а также повысить свои привилегии в другом приложении, используемом на данном смартфоне. Проделанная работа принесла ему денежное вознаграждение в размере 70 000 долларов.

Известно, что в этом году призовой фонд соревнований, организованных компанией Trend Micro, составляет 500 тысяч долларов. Большая часть этой суммы уже была выплачена за обнаруженные уязвимости, но соревнования все еще продолжаются.

Организаторы мероприятия уже заявили, что обо всех обнаруженных дырах в программно обеспечении мобильных устройств они обязательно сообщат компаниям-производителям, чтобы те имели возможность исправить ошибки. На устранение им отведено обычно 90 дней. По истечении этого срока хакеры имеют право обнародовать информацию об этих уязвимостях.

Кстати, уже известно, что компания Apple начала работу над обновлением для своей мобильной операционной системы, в которое она включит исправления для обнаруженных багов.