На прошедшей конференции PacSec, состоявшейся в Токио, был организован небольшой конкурс по взлому мобильных браузеров, название конкурсу было решено дать Mobile Pwn2Own.
В качестве участников выступала команда Hewlett-Packard's Zero Day Initiative (ZDI) в лице Абдула Азиз Харири (Abdul Aziz Hariri) и Мэта Молиньве (Matt Molinyawe), а также Pinkie Pie, уже известный взломом браузера Chrome в Pwn2Own 2012, их соперниками были Internet Explorer 11 на платформе Microsoft Surface RT (Windows 8.1) и Google Chrome на устройствах Samsung Galaxy S4 и Nexus 4.
Команда ZDI была решительно настроена на взлом IE11, что вобщем и произошло, как комментируют сами участники: "Эксплуатация ошибок в IE труднореализуема из-за встроенной защиты и контроля безопасности", уязвимость приводила к утечке памяти и выполнению удалённого кода, тем самым можно получить полный контроль над машиной.
Браузер Chrome также потерпел неудачу, после обманной ссылки браузер уже ничто не могло спасти, ситуация вышла из под контроля и мощный апперкот добил Chrome до потери сознания. А если быть точнее, уязвимость вызывает переполнение стека и выход из режима песочницы, после чего в системе возможно выполнять произвольный код.
Всё, что требуется сделать, это нажать по ссылке на специально сформированную страницу, после Chrome всё сделаем сам, передавая бразды правления в чужие руки. Конечно нужно отметить, что компания Google оперативно исправила уязвимость и выпустила соответствующее обновление (ошибка присутствовала и в настольной версии браузера Chrome). Pinkie Pie получил 50000 долларов США.
Кроме этих событий камень залетел и в огород Apple, где китайские (!!!) исследователи по безопасности взломали два iPhone 5 под управлением iOS 7.0.3 и iOS 6.1.4, используя уязвимости браузера Apple Safari, за выдающиеся результаты они получили награду в 27500 долларов США.
Присутствовала на конкурсе и японская команда, успешно взломавшая Samsung Galaxy S4 и получившая 40000 долларов США, а если перевести в йены, то у них и вовсе праздник.