Настоящими звездами состязания PwnFest 2016, прошедшего в Сеуле, стали члены китайской команды Qihoo 360. Именно они продемонстрировали взлом новейшего смартфона Google Pixel за считанные секунды.
Pixel был взломан при помощи proof-of-concept эксплоита, который активирует RCE-уязвимость нулевого дня. После эксплоит запускает Google Play Store перед открытием Google Chrome и выводит на экран устройства надпись «Pwned By 360 Alpha Team». На данном взломе команда заработала $120 000.
Также Qihoo 360 продемонстрировали взлом Adobe Flash, задействовав use-after-free 0-day и баг в ядре win32k. Это принесло команде еще $120 000.
Еще одна весьма уважаемая команда китайских исследователей, Pangu, известная в первую очередь своим джейлбрейкам для iOS, продемонстрировала на конкурсе взлом Safari, работающего на машине с macOS Sierra. В браузере был обнаружен 0-day баг, допускающий эскалацию привилегий, который позволил взломщикам получить root-права менее чем за 20 секунд. Хак принес команде $80 000.
Также во время мероприятия были взломаны Microsoft Edge, работающий на Windows 10 Red Stone 1, и дважды удалось хакнуть VMWare Workstation, без какого-либо взаимодействия с пользователем.
Подробная информация об использованных эксплоитах и методах должна появиться позже, пока конкурсанты дают производителям возможность исправить все задействованные в ходе взломов уязвимости.
