В тазгодишното предизвикателство Pwn2Own, участваха няколко доста популярни устройства iPhone 4S (iOS 6), Samsung Galaxy S III (Android 4.0.4), Nokia Lumia 900. За момента няма информация дали някой от участниците е пробвал да хакне Lumia 900. При iPhone 4S и Galaxy S III опитите са били успешни.
Спонсор на състезанието е HP, който е осигурил наградите от 30 000$ за всеки, открил дупка в сигурността на някое от устройствата.
Joost Pol и Daan Keuper от Certified Secure са използвали уеб браузъра Safari, който им е позволил достъп до адресната книга, снимките, видеата, историята на браузъра. За целта те просто са посетили заразена уеб страница. При това уеб браузърът не е crash-нал, което означава, че потребителят въобще не е разбрал, че нещо се случва с неговото устройство. Joost Pol споделя, че откриването на тази дупка в сигурността им е отнела около три седмици, като през това време са работили само в свободното си време. Те са използвали WebKit, защото присъства в iOS 6, а това означава, че излизащият нов iPhone също ще бъде уязвим от тази атака.
Pol споделя още, че BlackBerry също използва WebKit, но там се използва доста по-стара версия. При iPhone се използват различни технологии, които правят откриването на дупки в сигурността доста по-трудно. Pol споделя също, че лесно би могъл да използва и Android устройство, но е избрал iPhone като по-трудно.
Pol споделя също, че изпълнителният директор на някоя фирма, никога не трябва да отваря email или нещо ценно от iPhone или BlackBerry устройство. Според него много хора правят снимки със своите устройства, а не трябва да го правят.
При Galaxy S III е открита дупка в сигурността във file viewer от MWR Labs. Те са успели да свалят всички данни от Android смартфон – текстови съобщения, снимки, email-и, контакти, както и да проведат разговор с номер с увеличена тарифа, да направят снимки с камерата на телефона. Т.е. те са получили пълен контрол върху устройството.
Exploit-ът е използвал две нови дупки в сигурността. Според MWR Labs, атаката е била успешна, защото в Android 4.0.4 различни технологии за сигурност са непълни.
NFC е механизъм за доставяне. Дупката в сигурността се намира в parser в операционната система. Exploit-ът може лесно да бъде инсталиран, ако устройството се допре до заразен обект, например в метрото.
