Ежегодное соревнование Mobile Pwn2Own переименовали в Pwn2Own Tokyo, так как в этом году в программу состязания по взлому войдут устройства интернета вещей, а не только мобильные девайсы. Pwn2Own традиционно пройдет под патронажем Trend Micro Zero Day Initiative, в рамках ИБ-конференции PacSec, в Японии, в ноябре текущего года.
Призовой форд соревнования, равно как и в прошлом году, составит 500 000 долларов США, и участникам предложат найти и эксплуатировать уязвимости в устройствах Google, Apple, Samsung, Huawei, Xiaomi, Amazon и Nest.
Как уже было сказано выше, звания «мобильного» конкурса взломов Pwn2Own лишился из-за добавления в программу новой категории устройств: IoT. Участники смогут заработать до 60 000 долларов, если добьются удаленного выполнения произвольного кода (без взаимодействия с пользователем) на Apple Watch Series 3, Amazon Echo (2 поколения), Google Home, Nest Cam IQ Indoor и устройствах Amazon Cloud Cam.
В категории браузеров специалистам предложат взломать дефолтные браузеры Huawei P20, Xiaomi Mi6 и Samsung Galaxy S9. За успешную атаку будет выплачено 25 000 долларов. Дороже оценивается компрометации браузеров Apple iPhone X и Google Pixel — 50 000 долларов.
Секция взломов на коротком расстоянии включает в себя компрометацию через Wi-Fi, Bluetooth и NFC, и за такие хаки можно будет получить от 30 000 до 60 000 долларов (устройства Apple и Google вновь являются самыми «дорогими»).
Компрометация мобильных устройств через простые SMS- и MMS-сообщения оценивается в 75 000 долларов.
Но самыми высокооплачиваемыми атаками станут baseband-хаки, которые предполагают подключение целевого устройства к фальшивой базовой станции атакующего. В данном случае исследователи смогут получить от 50 000 долларов (за демонстрацию эксплоита для устройств Huawei, Xiaomi и Samsung), до 150 000 долларов (за взлом смартфонов Apple и Google).
В категориях браузеров и атак на коротком расстоянии конкурсанты также могут заработать дополнительные 20 000 долларов, если сумеют выполнить пейлоад с привилегиями ядра. Кроме того, бонус в размере 25 000-50 000 долларов выплачивается в данных категориях, в случае достижения устойчивой компрометации (эксплоит должен «переживать» перезагрузку) iPhone X и Pixel 2.
