Güvenlik araştırmacıları sürekli olarak yazılım ve firmware güvenlik açıklarını bulmaya çalışıyorlar, böylece kötü niyetli hacker'lardan önce bu açıkları bulup, onarılmasına yardımcı oluyorlar. Japonya'daki iki günlük Mobile Pwn2Own yarışmasında, iPhone 7, Samsung Galaxy S8 ve Huawei Mate 9 Pro'nun hepsinde bazı güvenlik açıkları bulundu.
Trend Micro'nun Zero Day Initiative kapsamında gerçekleşen yarışmanın amacı "güvenlik açıklarını ortaya çıkarma görevini yerine getiren güvenlik araştırmacılarını ödüllendirmek." Yarışmanın birinci günü, üç farklı akıllı telefonu yedi hack'leme girişimi ile sona erdi. Girişimlerden beş tanesi başarılı oldu, bunlardan beşi, en güncel işletim sistemi iOS 11.1'i çalıştıran iPhone 7'ye karşıydı.
Araştırmacıların odaklandığı alanlar, cep telefonlarının internet tarayıcıları, kısa mesafe ve WiFi, mesajlaşma ve geniş bant oldu. Her telefondaki hedef kendine has bir hediye ve puanlara sahip, ve istikrar gibi şeyler de daha çok artı puan kazanmaya etki ediyor (örneğin cihaz yeniden başlayınca da güvenlik açığının devam etmesi, kernel-seviyesi izinler sağlaması vs.) En çok puan kazanan araştırmacılara para ödülünün yanında ayrıca Master of Pwn unvanı ve bir kupa verildi.
İşte başarılı olan hack'lemeler
iPhone 7: Tencent Keen Security Lab, bir WiFi bug'ı ile kod çalıştırabildi ve kazandığı yetkileri cihazı yeniden başlatmanın ardından da sürdürmeyi başardı (110,000$).
Huawei Mate 9 Pro: Tencent Keen Security Lab, Huawei baseband işlemcisindeki bir "yığın taşmasını" kullandı (100,000$).
Samsung Galaxy S8: 360 Security (@mj0011sec) kod çalıştırmaya yarayan bir Samsung internet tarayıcısı bug'ı buldu, sonra bir Samsung uygulamasında yetki kazandı ve cihazı yeniden başlatmasının ardından da bunu sürdürebildi (70,000$).
iPhone 7: Tencent Keen Security Lab, Safari'de güvenlik ihlali yapmak için iki tane bug'ı kullandı, biri tarayıcıda, diğeri ise sistem hizmetinde.
iPhone 7: Richard Zhu (flouroscence) Sandbox'tan kaçmak ve Safari'nin güvenliğini aşmak için iki bug'ı kullandı, seçtiği kodu başarılı şekilde kullandı (25,000$).
Girişimlerin iki tanesi de başarısız oldu ve bunların ikisi de Tencent Keen Security Lab'den geldi. Biri Galaxy S8'deki internet tarayıcısına yönelik, diğeri ise Mate 9 Pro'daki NFC hedefliydi.
Yarın yarışma altı tane daha deneme ile devam edecek, aynı telefonlara ek olarak Google Pixel de kullanılacak.