Ο διαγωνισμός hacking για κινητά, Pwn2Own, έλαβε τέλος την Πέμπτη με ικανοποίηση για τους προγραμματιστές του Windows Phone και του λειτουργικού συστήματος Android, καθώς οι χάκερς πέτυχαν το στόχο τους μόνο κατά ένα μέρος.
Ο διαγωνισμός οργανώθηκε από τo Zero-Day Initiative (ZDI) της HP, και εστιάζει στην επίδειξη zero-day exploits που μπορούν να χρησιμοποιηθούν για τη επίτευξη του πλήρους ελέγχου της συσκευής.
Κατά την τελευταία ημέρα της εκδήλωσης, ο Nico Joly, ένας βετεράνος ερευνητής από τη γαλλική εταιρεία ασφαλείας Vupen, δοκίμασε τις ικανότητές του σε ένα Lumia 1520 Windows Phone, με ένα exploit για τον web browser, ώστε να πάρει τον πλήρη έλεγχο της συσκευής.
Ωστόσο, το sandbox τον εμπόδισε να επιτύχει τον στόχο του και το μόνο που κατάφερε ήταν το exfiltrate της βάσης δεδομένων των cookies, το οποίο αποτελεί κατόρθωμα καθώς τα cookies μπορούν να χρησιμοποιηθούν για την πρόσβαση σε online λογαριασμούς ενός χρήστη και την πραγματοποίηση τροποποίησεων με τον ίδιο τρόπο που θα γίνονταν και από τον κάτοχο.
Ο δεύτερος ανταγωνιστής ήταν ο Jüri Aedla, ο οποίος στόχευσε το Android και πραγματοποίησε μια WiFi-based επίθεση (το DHCP glitch επιτρέπει την απομακρυσμένη εκτέλεση κώδικα) έναντι ενός Nexus 5 που τρέχει Android. Η επίθεση ήταν επίσης ανεπιτυχής όσον αφορά την ανάληψη του ελέγχου της συσκευής, κατόρθωσε όμως να αποδείξει την ύπαρξη δυνατότητας εκτέλεσης κώδικα, αφού εκτέλεσε απομακρυσμένα τον web browser.
Το Pwn2Own για κινητά είναι αυτή τη χρονιά χορηγία από την Google και τη Blackberry, που προσέφεραν 425.000 $ και 341.500 € αντίστοιχα σε χρηματικά έπαθλα και πραγματοποιήθηκε στο Τόκιο, στη διάσκεψη για την ασφάλεια, PacSec.
Κατά τη συνεδρία της Τετάρτης οι hackers κατάφεραν να παραβιάσουν συσκευές της Samsung (Galaxy S5), της LG (Nexus 5), της Apple (iPhone 5S) και του Amazon (Fire Phone).
Τα exploits δεν έχουν δοθεί στη δημοσιότητα, σύμφωνα με τους κανόνες του διαγωνισμού, αλλά το ZDI τα επαλήθευσε και τα επικύρωσε και έλαβε άμεση δράση ώστε να ενημερώσει τις εταιρείες που συμμετέχουν στην ανάπτυξη των επηρεαζόμενων προϊόντων.
Το ZDI υποσχέθηκε να παράσχει λεπτομέρειες σχετικά με τα επιμέρους exploits τις προσεχείς εβδομάδες.
