Pwn2Own
| Datum | 18–20 april 2007 |
|---|---|
| Tid | Två gånger per år |
| Varaktighet | 2 till 4 dagar |
| Mötesplats | CanSecWest säkerhetskonferens |
| Plats | Olika |
| Typ | Hacking tävling |
| Beskyddare | Zero Day Initiative |
| Organiserad av | CanSecWest Applied Security Conference |
| Utmärkelser | Kontantpriser |
| Hemsida | CanSecWest Applied Security Conference |
Pwn2Own är en datorhackningstävling som hålls årligen på säkerhetskonferensen CanSecWest . Tävlingen hölls för första gången i april 2007 i Vancouver och hålls nu två gånger om året, senast i april 2021. Tävlande utmanas att utnyttja mycket använd programvara och mobila enheter med tidigare okända sårbarheter . Vinnare av tävlingen får enheten som de utnyttjade och ett kontantpris. Pwn2Own-tävlingen tjänar till att demonstrera sårbarheten hos enheter och mjukvara i utbredd användning samtidigt som den ger en kontrollpunkt på framstegen inom säkerheten sedan föregående år.
Historia
Ursprung
Den första tävlingen 2007 skapades och utvecklades av Dragos Ruiu som svar på hans frustration över Apple Inc.:s bristande respons på Month of Apple Bugs och Month of Kernel Bugs, såväl som Apples tv-reklam som trivialiserade den byggda säkerheten i det konkurrerande Windows-operativsystemet . På den tiden fanns det en utbredd uppfattning att OS X , trots dessa offentliga visningar av sårbarheter i Apple-produkter , var betydligt säkrare än alla andra konkurrenter. Den 20 mars, ungefär tre veckor före CanSecWest det året, tillkännagav Ruiu Pwn2Own-tävlingen för säkerhetsforskare på DailyDaves e-postlista. Tävlingen skulle inkludera två MacBook Pros som han skulle lämna på konferensgolvet anslutna till sin egen trådlösa åtkomstpunkt . Varje konferensdeltagare som kan ansluta till denna trådlösa åtkomstpunkt och utnyttja en av enheterna skulle kunna lämna konferensen med den bärbara datorn. Det fanns ingen monetär belöning. Namnet "Pwn2Own" härleddes från det faktum att tävlande måste " pwn " eller hacka enheten för att "äga" eller vinna den.
På den första dagen av konferensen i Vancouver, British Columbia , bad Ruiu Terri Forslof från Zero Day Initiative (ZDI) att delta i tävlingen. ZDI har ett program som köper nolldagsattacker , rapporterar dem till den berörda leverantören och förvandlar dem till signaturer för deras eget nätverksintrångsdetekteringssystem, vilket ökar dess effektivitet. Sårbarheterna som säljs till ZDI offentliggörs först efter att den berörda leverantören har utfärdat en patch för den. Forslof gick med på att ha ZDI erbjuda sig att köpa eventuella sårbarheter som användes i tävlingen för ett fast pris på $10 000. Den första tävlingen avslöjade därefter ett uppmärksammat QuickTime -fel, som avslöjades för Apple den 23 april och korrigerades i början av maj. 2008 utökades omfattningen av Pwn2Own-tävlingen. Målen inkluderade tre bärbara datorer som kör standardinstallationen av Windows Vista , OS X eller Ubuntu Linux . Mobila enheter lades till 2009.
För 2012 ändrades reglerna till en "capture-the-flag"-tävling med ett poängsystem, At och Chrome utnyttjades framgångsrikt för första gången av den vanliga konkurrenten VUPEN . Efter att ha dragit sig ur tävlingen det året på grund av nya regler för avslöjande, Google 2013 som sponsor och reglerna ändrades för att kräva fullständigt avslöjande av utnyttjande och tekniker som används. Det året (2013) kunde en enda forskare hacka Chrome, Firefox och IE , ett trifecta-hack. Google upphörde att vara sponsor för Pwn2Own 2015.
Senare år
Under 2015 hackades alla testade webbläsare framgångsrikt och varje pris vann, totalt $557 500. Andra priser som bärbara datorer delades också ut till vinnande forskare. Under 2018 var konferensen mycket mindre och sponsrad i första hand av Microsoft , efter att Kina förbjöd sina säkerhetsforskare att delta i tävlingen.
Pwn2Own fortsätter att sponsras av Trend Micros Zero Day Initiative, där ZDI rapporterar sårbarheter till leverantörer innan de offentliggörs med hackarna. "En av de största hackningstävlingarna i världen" enligt TechCrunch , från och med 2019 fortsätter tävlingen att hållas flera gånger om året. Pwn2Own Tokyo hölls 6 november till 7 november i Tokyo, Japan , och förväntades dela ut $750 000 i kontanter och priser. Hacks fokuserar på webbläsare, virtuella maskiner, datorer och telefoner. Under 2019 lade tävlingen till bilar för första gången, med 900 000 USD som erbjöds för hackningar som utnyttjar Teslas programvara. Under 2019 lade tävlingen till industriella styrsystem.
Belöningssystem
Vinnare av tävlingen får enheten som de utnyttjade och ett kontantpris. Vinnarna får också en "Masters"-jacka som firar året då de vann.
Lista över framgångsrika bedrifter
Följande lista över anmärkningsvärda hack är ofullständig.
| Hackare | Anslutning | År | Utnyttja mål | Version / OS | Källa |
|---|---|---|---|---|---|
| Dino Dai Zovi | Oberoende | 2007 | QuickTime ( Safari ) | Mac OS X | |
| Shane Macauley | Oberoende | 2007 | QuickTime (Safari) | Mac OS X | |
| Charlie Miller | ISE | 2008 | Safari ( PCRE ) | Mac OS X 10.5 .2 | |
| Jake Honoroff | ISE | 2008 | Safari (PCRE) | Mac OS X 10.5.2 | |
| Mark Daniel | ISE | 2008 | Safari (PCRE) | Mac OS X 10.5.2 | |
| Shane Macauley | Oberoende | 2008 | Adobe Flash ( Internet Explorer ) | Windows Vista Service Pack 1 | |
| Alexander Sotirov | Oberoende | 2008 | Adobe Flash (Internet Explorer) | Windows Vista Service Pack 1 | |
| Derek Callaway | Oberoende | 2008 | Adobe Flash (Internet Explorer) | Windows Vista Service Pack 1 | |
| Charlie Miller | ISE | 2009 | Safari | Mac OS X | |
| Nils | Oberoende | 2009 | Internet Explorer 8 | Windows 7 Beta | |
| Nils | Oberoende | 2009 | Safari | Mac OS X | |
| Nils | Oberoende | 2009 | Mozilla Firefox | ||
| Charlie Miller | ISE | 2010 | Safari | Mac OS X | |
| Peter Vreugdenhil | Oberoende | 2010 | Internet Explorer 8 | Windows 7 | |
| Nils | Oberoende | 2010 | Mozilla Firefox 3.6 | Windows 7 (64-bitars) | |
| Ralf-Philipp Weinmann | Oberoende | 2010 | iPhone 3GS | iOS | |
| Vincenzo Iozzo | Oberoende | 2010 | iPhone 3GS | iOS | |
| VUPEN | VUPEN | 2011 | Safari 5.0.3 | Mac OS X 10 .6.6 | |
| Stefan färre | Harmoni säkerhet | 2011 | Internet Explorer 8 (32-bitars) | Windows 7 Service Pack 1 (64-bitars) | |
| Charlie Miller | ISE | 2011 | Iphone 4 | iOS 4.2 .1 | |
| Dion Blazakis | ISE | 2011 | Iphone 4 | iOS 4.2.1 | |
| Willem Pinckaers | Oberoende | 2011 | BlackBerry Torch 9800 | BlackBerry OS 6 .0.0.246 | |
| Vincenzo Iozzo | Oberoende | 2011 | Blackberry Torch 9800 | BlackBerry OS 6.0.0.246 | |
| Ralf-Philipp Weinmann | Oberoende | 2011 | Blackberry Torch 9800 | BlackBerry OS 6.0.0.246 | |
| VUPEN | VUPEN | 2012 | Krom | Windows 7 Service Pack 1 (64-bitars) | |
| VUPEN | VUPEN | 2012 | Internet Explorer 9 | Windows 7 | |
| Willem Pinckaers | Oberoende | 2012 | Mozilla Firefox | ||
| Vincenzo Iozzo | Oberoende | 2012 | Mozilla Firefox | ||
| VUPEN | VUPEN | 2013 | Internet Explorer 10 | Windows 8 | |
| VUPEN | VUPEN | 2013 | Adobe Flash | Windows 8 | |
| VUPEN | VUPEN | 2013 | Oracle Java | Windows 8 | |
| Nils | MWR Labs | 2013 | Krom | Windows 8 | |
| Jon | MWR Labs | 2013 | Krom | Windows 8 | |
| George Hotz | Oberoende | 2013 | Adobe läsare | Windows 8 | |
| Joshua Drake | Oberoende | 2013 | Oracle Java | Windows 8 | |
| James Forshaw | Oberoende | 2013 | Oracle Java | Windows 8 | |
| Ben Murphy | Oberoende | 2013 | Oracle Java | Windows 8 | |
| Pinkie Pie | Oberoende | 2013 (mobil) | Krom | Android | |
| Nico Joly | VUPEN | 2014 (mobil) | Windows Phone ( Internet Explorer 11 ) | Windows 8.1 | |
| VUPEN | VUPEN | 2014 | Internet Explorer 11 | Windows 8.1 | |
| VUPEN | VUPEN | 2014 | Adobe Reader XI | Windows 8.1 | |
| VUPEN | VUPEN | 2014 | Krom | Windows 8.1 | |
| VUPEN | VUPEN | 2014 | Adobe Flash | Windows 8.1 | |
| VUPEN | VUPEN | 2014 | Mozilla Firefox | Windows 8.1 | |
| Liang Chen, Zeguang Zhao | Keen team, team509 | 2014 | Adobe Flash | Windows 8.1 | |
| Sebastian Apelt, Andreas Schmidt | Oberoende | 2014 | Internet Explorer 11 | Windows 8.1 | |
| Jüri Aedla | Oberoende | 2014 | Mozilla Firefox | Windows 8.1 | |
| Mariusz Młyński | Oberoende | 2014 | Mozilla Firefox | Windows 8.1 | |
| George Hotz | Oberoende | 2014 | Mozilla Firefox | Windows 8.1 | |
| Liang Chen, Zeguang Zhao | Keen team, team509 | 2014 | OS X Mavericks och Safari | ||
| Jung Hoon Lee, aka lokihardt | Oberoende | 2015 | Internet Explorer 11, Google Chrome och Safari | ||
| Nico Golde, Daniel Komaromy | Oberoende | 2015 (mobil) | Samsung Galaxy S6 basband | Android | |
| Guang Gong | Qihoo 360 | 2015 (mobil) | Nexus 6 Chrome | Android | |
| 2016 | |||||
| 2017 | iPhone 7, andra | iOS 11.1 | |||
| 2018 | |||||
| Fluoroacetat | Oberoende | 2019 (mobil) | Amazon Echo Show 5 | ||
| Pedro Ribeiro, Radek Domanski | Flashback | 2019 (mobil) | NETGEAR Nighthawk Smart WiFi-router (LAN och WAN) | v3 (hårdvara) | |
| Pedro Ribeiro, Radek Domanski | Flashback | 2019 (mobil) | TP-Link AC1750 Smart WiFi-router (LAN och WAN) | v5 (hårdvara) | |
| Mark Barnes, Toby Drew, Max Van Amerongen och James Loureiro | F-Secure Labs | 2019 (mobil) | Xiaomi Mi9 (webbläsare och NFC) | Android | |
| Mark Barnes, Toby Drew, Max Van Amerongen och James Loureiro | F-Secure Labs | 2019 (mobil) | TP-Link AC1750 Smart WiFi-router (LAN och WAN) | v5 (hårdvara) | |
| Yong Hwi Jin, Jungwon Lim och Insu Yun | Georgia Tech Systems Software & Security Lab | 2020 (dator) | Apple Safari, med privilegieupptrappning | Mac OS | |
| Richard Zhu | Fluorescens | 2020 (dator) | Microsoft Windows | Windows | |
| Manfred Paul | RedRocket | 2020 (dator) | Ubuntu Desktop | Ubuntu | |
| Amat Cama, Richard Zhu | Fluoroacetat | 2020 (dator) | Microsoft Windows | Windows | |
| Phi Phạm Hồng | STAR Labs | 2020 (dator) | Oracle VirtualBox | Windows | |
| Amat Cama, Richard Zhu | Fluoroacetat | 2020 (dator) | Adobe Reader, med privilegieupptrappning | Windows | |
| Lucas Leong | Zero Day Initiative | 2020 (dator) | Oracle VirtualBox | Windows | |
| STAR Labs | 2020 (Tokyo) | NETGEAR Nighthawk R7800 (LAN) | |||
| Trapa Säkerhet | 2020 (Tokyo) | Western Digital My Cloud Pro Series PR4100 | |||
| Pedro Ribeiro, Radek Domanski | Flashback | 2020 (Tokyo) | NETGEAR Nighthawk R7800 (WAN) | ||
| 84c0 | 2020 (Tokyo) | Western Digital My Cloud Pro Series PR4100 | |||
| Viettel Cyber Security | 2020 (Tokyo) | Samsung Q60T | |||
| Trapa Säkerhet | 2020 (Tokyo) | NETGEAR Nighthawk R7800 (LAN) | |||
| Pedro Ribeiro, Radek Domanski | Flashback | 2020 (Tokyo) | TP-Link AC1750 Smart WiFi | ||
| Bugscale | 2020 (Tokyo) | Western Digital My Cloud Pro Series PR4100 | |||
| 84c0 | 2020 (Tokyo) | NETGEAR Nighthawk R7800 (LAN) | |||
| F-Secure Labs | 2020 (Tokyo) | Samsung Q60T | |||
| Sam Thomas | Pentest Ltd | 2020 (Tokyo) | Western Digital My Cloud Pro Series PR4100 | ||
| Synacktiv | 2020 (Tokyo) | TP-Link AC1750 Smart WiFi (LAN) | |||
| DEVCORE | 2020 (Tokyo) | Synology DiskStation DS418Play NAS | |||
| DEVCORE | 2020 (Tokyo) | Western Digital My Cloud Pro Series PR4100 | |||
| Gaurav Baruah | 2020 (Tokyo) | Western Digital My Cloud Pro Series PR4100 | |||
| Viettel Cyber Security | 2020 (Tokyo) | Sony X800 | |||
| STAR Labs | 2020 (Tokyo) | Synology DiskStation DS418Play NAS | |||
| Jack Dates | RET2-system | 2021 (Vancouver) | Apple Safari, med privilegieupptrappning | ||
| DEVCORE | 2021 (Vancouver) | Microsoft Exchange | |||
| OV | 2021 (Vancouver) | Microsoft Teams | |||
| Viettel Cyber Security | 2021 (Vancouver) | Microsoft Windows | Windows 10 | ||
| Ryota Shiga | Flatt Security Inc | 2021 (Vancouver) | Ubuntu Desktop | Ubuntu | |
| Jack Dates | RET2-system | 2021 (Vancouver) | Parallels Desktop | ||
| Bruno Keith, Niklas Baumstark | Dataflödessäkerhet | 2021 (Vancouver) | Google Chrome, Microsoft Edge | ||
| Viettel Cyber Security | 2021 (Vancouver) | Microsoft Exchange | |||
| Daan Keuper, Thijs Alkemade | Computetest | 2021 (Vancouver) | Zoom | Windows | |
| Tao Yan | Palo Alto Networks | 2021 (Vancouver) | Microsoft Windows | Windows 10 | |
| Sunjoo Park | 2021 (Vancouver) | Parallels Desktop | |||
| Manfred Paul | 2021 (Vancouver) | Ubuntu Desktop | Ubuntu | ||
| z3r09 | 2021 (Vancouver) | Microsoft Windows | Windows 10 | ||
| Benjamin McBride | L3Harris Trenchant | 2021 (Vancouver) | Parallels Desktop | ||
| Steven Seeley | Källa Incita | 2021 (Vancouver) | Microsoft Exchange | ||
| Billy | STAR Labs | 2021 (Vancouver) | Ubuntu Desktop | Ubuntu | |
| Fabien Perigaud | Synacktiv | 2021 (Vancouver) | Microsoft Windows | Windows 10 | |
| Alisa Esage | 2021 (Vancouver) | Parallels Desktop | |||
| Vincent Dehors | Synacktiv | 2021 (Vancouver) | Ubuntu Desktop | Ubuntu | |
| Da Lao | 2021 (Vancouver) | Parallels Desktop | |||
| Marcin Wiazowski | 2021 (Vancouver) | Microsoft Windows | Windows 10 |
Årliga tävlingar
2007
Tävlingen ägde rum från torsdagen den 18 april till lördagen den 20 april 2007 i Vancouver. Den första tävlingen var avsedd att belysa osäkerheten i Apples Mac OS X- operativsystem eftersom det vid den tiden fanns en utbredd uppfattning om att OS X var mycket säkrare än sina konkurrenter. När det gäller reglerna, bara två bärbara MacBook Pro-datorer, en 13" och en 15", fanns kvar på konferensgolvet på CanSecWest och kopplades till ett separat trådlöst nätverk. Endast vissa attacker var tillåtna och dessa restriktioner lossades successivt under konferensens tre dagar. Dag 1 tillät endast fjärrattacker, dag 2 hade webbläsarattacker inkluderade, medan dag 3 tillät lokala attacker, där tävlande kunde ansluta med ett USB- minne eller Bluetooth . För att vinna 15-tums MacBook Pro måste deltagarna ytterligare eskalera sina privilegier till root efter att ha fått åtkomst med sin första exploatering.
De bärbara datorerna hackades inte den första dagen. Efter att priset på $10 000 tillkännagavs av ZDI ringde Shane Macaulay upp tidigare medarbetare Dino Dai Zovi i New York och uppmanade honom att tävla den andra dagen. På en natt hittade och utnyttjade Dai Zovi en tidigare okänd sårbarhet i ett QuickTime- bibliotek som laddades av Safari. Följande morgon skickade Dai Zovi sin exploateringskod till Macaulay, som placerade den på en webbplats och skickade en länk till tävlingsarrangörerna via e-post. När den klickades gav länken Macauley kontroll över den bärbara datorn, och vann tävlingen genom proxy för Dai Zovi, som gav Macaulay 15" MacBook Pro. Dai Zovi sålde separat sårbarheten till ZDI för priset på 10 000 $.
2008
Pwn2Own 2008 ägde rum från torsdagen den 26 mars till lördagen den 28 mars 2008. Efter den framgångsrika tävlingen 2007 utökades omfattningen av tävlingen till att omfatta ett bredare utbud av operativsystem och webbläsare. Tävlingen skulle visa på den utbredda osäkerheten hos all mjukvara som ofta används av konsumenter. Dragos förfinade tävlingen med hjälp av en bred panel av branschexperter och tävlingen administrerades av ZDI, som återigen skulle erbjuda sig att köpa sårbarheterna efter deras demonstration. Som med alla sårbarheter som ZDI köper, skulle informationen om sårbarheterna som används i Pwn2Own lämnas till de berörda leverantörerna och offentliga detaljer skulle undanhållas tills en patch gjordes tillgänglig. Alla tävlande som framgångsrikt demonstrerade utnyttjande vid tävlingen kunde sälja sina sårbarheter till ZDI för priser på $20 000 den första dagen, $10 000 den andra dagen och $5 000 den tredje dagen. Precis som i föregående års tävling var endast vissa attacker tillåtna varje dag. Målen inkluderade tre bärbara datorer som kör standardinstallationen av Windows Vista Ultimate SP1 , Mac OS X 10.5.2 eller Ubuntu Linux 7.10 . Dag 1 såg endast fjärrattacker; De tävlande var tvungna att ansluta sig till samma nätverk som målbärbara datorn och utföra sin attack utan användarinteraktion och utan autentisering. Dag 2 hade webbläsar- och snabbmeddelandeattacker inkluderade, såväl som skadliga webbplatsattacker med länkar som skickades till arrangörer för att klicka på dem. Dag 3 hade tredjepartsklientapplikationer inkluderade. Tävlande kan rikta in sig på populär programvara från tredje part som webbläsare, Adobe Flash , Java , Apple Mail , iChat , Skype , AOL och Microsoft Silverlight .
När det gäller resultatet, den bärbara datorn som kör OS X utnyttjades den andra dagen av tävlingen med ett utnyttjande för webbläsaren Safari som skrevs tillsammans av Charlie Miller , Jake Honoroff och Mark Daniel från Independent Security Evaluators. Deras utnyttjande riktade sig mot en underkomponent med öppen källkod i webbläsaren Safari. Den bärbara datorn som kör Windows Vista SP1 utnyttjades den tredje dagen av tävlingen med en exploit för Adobe Flash som skrevs tillsammans av Shane Macaulay, Alexander Sotirov och Derek Callaway. Efter tävlingen avslöjade Adobe att de hade samupptäckt samma sårbarhet internt och hade arbetat på en patch vid tiden för Pwn2Own. Den bärbara datorn som körde Ubuntu utnyttjades inte.
2009
Pwn2Own 2009 ägde rum under de tre dagarna av CanSecWest från torsdagen den 18 mars till lördagen den 20 mars 2009. Efter att ha haft betydligt större framgång med inriktning på webbläsare än någon annan kategori av programvara under 2007, fokuserade den tredje Pwn2Own på populära webbläsare som används på konsumenter skrivbordsoperativsystem. Det lade till en annan kategori av mobila enheter som tävlande utmanades att hacka via många fjärrangreppsvektorer inklusive e-post, SMS och webbsurfning. Alla tävlande som uppvisade framgångsrika utnyttjande av tävlingen erbjöds belöningar för de underliggande sårbarheterna av ZDI, $5 000 för webbläsarmissbruk och $10 000 för mobila exploits.
När det gäller regler för webbläsare var webbläsarmålen Internet Explorer 8 , Firefox och Chrome installerade på en Sony Vaio som kör Windows 7 Beta och Safari och Firefox installerade på en MacBook som kör Mac OS X. Alla webbläsare var helt patchade och i standardkonfigurationer den första tävlingsdagen. Liksom tidigare år utökades attackyttävlingen under de tre dagarna. På dag 1 var de tävlande tvungna att rikta in sig på funktionalitet i standardwebbläsaren utan tillgång till några plugins. Dag 2 inkluderades Adobe Flash, Java, Microsoft .NET Framework och QuickTime. På dag 3 inkluderades andra populära tredjepartsplugins som Adobe Reader . Flera vinnare per mål var tillåtna, men bara den första tävlande som utnyttjade varje bärbar dator skulle få det. Mål för mobila enheter inkluderade BlackBerry , Android , Apple iPhone 2.0 ( T-Mobile G1 ), Symbian (Nokia N95 ) och Windows Mobile ( HTC Touch )-telefoner i deras standardkonfigurationer.
Precis som med webbläsartävlingen utökades attackytan som var tillgänglig för tävlande under tre dagar. För att bevisa att de framgångsrikt kunde äventyra enheten, var de tävlande tvungna att visa att de kunde samla in känslig data från den mobila enheten eller ådra sig någon typ av ekonomisk förlust från den mobila enhetens ägare. På dag 1 kunde enheten ta emot SMS, MMS och e-post men meddelanden kunde inte läsas. Wifi (om på som standard), Bluetooth (om på som standard) och radiostack var också inom räckvidden. Dag 2 kunde SMS, MMS och e-post öppnas och läsas. Wifi var påslaget och Bluetooth kunde slås på och paras ihop med ett närliggande headset (ytterligare parkoppling är inte tillåten). Dag 3 tillät en nivå av användarinteraktion med standardapplikationerna. Flera vinnare per enhet var tillåtna, men bara den första tävlande som utnyttjade varje mobil enhet skulle få det (tillsammans med ett ettårigt telefonkontrakt).
När det gäller resultatet, baserat på det ökade intresset för att tävla 2009, arrangerade ZDI ett slumpmässigt urval för att avgöra vilket lag som gick först mot varje mål. Den första tävlande som valdes ut var Charlie Miller . Han utnyttjade Safari på OS X utan hjälp av några webbläsarplugin. I intervjuer efter att ha vunnit tävlingen, betonade Miller att även om det bara tog honom minuter att köra sitt utnyttjande mot Safari, tog det många dagar för honom att undersöka och utveckla det han använde. En forskare som endast identifierades som Nils valdes ut att gå efter Miller. Nils körde framgångsrikt en exploatering mot Internet Explorer 8 på Windows 7 Beta. När han skrev denna exploatering var Nils tvungen att kringgå anti-exploateringsåtgärder som Microsoft hade implementerat i Internet Explorer 8 och Windows 7, inklusive Data Execution Protection (DEP) och Address Space Layout Randomization (ASLR). Nils fortsatte att prova de andra webbläsarna. Även om Miller redan hade utnyttjat Safari på OS X, utnyttjade Nils den här plattformen igen och fortsatte sedan med att utnyttja Firefox framgångsrikt. Nära slutet av den första dagen lyckades Julien Tinnes och Sami Koivu (fjärr) utnyttja Firefox och Safari på OS X med en sårbarhet i Java. Vid den tiden hade OS X Java aktiverat som standard, vilket möjliggjorde tillförlitlig exploatering mot den plattformen. Men på grund av att Tinnes redan hade rapporterat sårbarheterna till leverantören föll Tinnes deltagande utanför reglerna för tävlingen och kunde inte belönas. De följande dagarna av tävlingen lockade inga ytterligare tävlande. Chrome, såväl som alla mobila enheter, blev oexploaterade i Pwn2Own 2009.
2010
Tävlingen startade den 24 mars 2010 och hade en total prispott på USD 100 000. Den 15 mars – nio dagar innan tävlingen skulle börja – släppte Apple sexton patchar för WebKit och Safari. När det gäller programvara att utnyttja, var $40 000 av $100 000 reserverade för webbläsare, där varje mål är värt $10 000. Dag 1 inkluderade Microsoft Internet Explorer 8 på Windows 7 , Mozilla Firefox 3.6 på Windows 7, Google Chrome 4 på Windows 7 och Apple Safari 4 på Mac OS X Snow Leopard . Dag 2 inkluderade Microsoft Internet Explorer 8 på Windows Vista , Mozilla Firefox 3 på Windows Vista, Google Chrome 4 på Windows Vista och Apple Safari 4 på Mac OS X Snow Leopard. Dag 3 inkluderade Microsoft Internet Explorer 8 på Windows XP , Mozilla Firefox 3 på Windows XP, Google Chrome 4 på Windows XP och Apple Safari 4 på Mac OS X Snow Leopard. 60 000 $ av den totala prispotten på 100 000 $ tilldelades mobildelen av tävlingen, varje mål var värt 15 000 $. Dessa inkluderade Apple iPhone 3GS , RIM BlackBerry Bold 9700 , Nokia E72 -enhet som kör Symbian och HTC Nexus One som kör Android .
Opera -webbläsaren utelämnades från tävlingarna som ett mål: ZDI-teamet hävdade att Opera hade en låg marknadsandel och att Chrome och Safari bara ingår "på grund av deras standardnärvaro på olika mobila plattformar". Operas renderingsmotor, Presto , finns dock på miljontals mobila plattformar.
Bland framgångsrika exploateringar var när Charlie Miller framgångsrikt hackade Safari 4 på Mac OS X. Nils hackade Firefox 3.6 på Windows 7 64-bitars genom att använda en minneskorruptionssårbarhet och kringgå ASLR och DEP, varefter Mozilla korrigerade säkerhetsbristen i Firefox 3.6.3 . Ralf-Philipp Weinmann och Vincenzo Iozzo hackade iPhone 3GS genom att kringgå de digitala kodsignaturerna som används på iPhone för att verifiera att koden i minnet är från Apple. Peter Vreugdenhil utnyttjade Internet Explorer 8 på Windows 7 genom att använda två sårbarheter som innebar att kringgå ASLR och undvika DEP .
2011
2011 års tävling ägde rum mellan den 9 och 11 mars under CanSecWest-konferensen i Vancouver. Webbläsarens mål för 2011 års tävling inkluderade Microsoft Internet Explorer, Apple Safari, Mozilla Firefox och Google Chrome. Nytt för Pwn2Own-tävlingen var det faktum att en ny attackyta var tillåten för att penetrera mobiltelefoner, speciellt över mobiltelefonbasband . Mobiltelefonmålen var Dell Venue Pro med Windows Phone 7 , iPhone 4 med iOS, BlackBerry Torch 9800 med BlackBerry OS 6.0 och Nexus S med Android 2.3. Flera lag anmälde sig till webbläsartävlingen för datorer. För Apple Safari inkluderade registrerade konkurrenter VUPEN, Anon_07, Team Anon, Charlie Miller. Mozilla Firefox inkluderade Sam Thomas och Anonymous_1. Microsofts Internet Explorer-team inkluderade Stephen Fewer, VUPEN, Sam Thomas och Ahmed M Sleet. Google Chrome-teamen inkluderade Moatz Khader, Team Anon och Ahmed M Sleet. Följande lag registrerade sig för kategorin mobilwebbläsare. För Apples iPhone-hackförsök inkluderade teamen Anon_07, Dion Blazakis och Charlie Miller, Team Anon, Anonymous_1 och Ahmed M Sleet. För att hacka RIM Blackberry var teamen Anonymous_1, Team Anon och Ahmed M Sleet. För att hacka Samsung Nexus S inkluderade teamen Jon Oberheide, Anonymous_1, Anon_07 och Team Anonymous. För att hacka Dell Venue Pro inkluderade teamen George Hotz , Team Anonymous, Anonymous_1 och Ahmed M Sleet.
Under tävlingens första dag besegrades Safari och Internet Explorer av forskare. Safari var version 5.0.3 installerad på en helt patchad Mac OS X 10.6.6. Det franska säkerhetsföretaget VUPEN var först med att attackera webbläsaren. Internet Explorer var en 32-bitars version 8 installerad på 64-bitars Windows 7 Service Pack 1. Säkerhetsforskaren Stephen Fewer från Harmony Security lyckades utnyttja IE. Detta visades precis som med Safari. På dag 2 utnyttjades båda iPhone 4 och Blackberry Torch 9800. iPhone körde iOS 4.2.1, men felet finns i version 4.3 av iOS. Säkerhetsforskarna Charlie Miller och Dion Blazakis kunde få tillgång till iPhone:s adressbok genom en sårbarhet i Mobile Safari genom att besöka deras exploaterade webbsida. Blackberry Torch 9800-telefonen körde BlackBerry OS 6.0.0.246. Teamet med Vincenzo Iozzo, Willem Pinckaers och Ralf Philipp Weinmann utnyttjade en sårbarhet i Blackberrys WebKit-baserade webbläsare genom att besöka deras tidigare förberedda webbsida. Firefox, Android och Windows Phone 7 skulle testas under dag 2, men säkerhetsforskarna som hade valts ut för dessa plattformar försökte inte göra några exploateringar. Sam Thomas hade blivit utvald att testa Firefox, men han drog sig tillbaka och förklarade att hans utnyttjande inte var stabil. Forskarna som hade blivit utvalda att testa Android och Windows Phone 7 dök inte upp. Inga lag dök upp för dag tre. Chrome och Firefox hackades inte.
2012
För 2012 ändrades reglerna till en capture-the-flag-tävling med ett poängsystem. Det nya formatet fick Charlie Miller , framgångsrik vid evenemanget de senaste åren, att besluta sig för att inte delta, eftersom det krävde "på plats" skrivning av bedrifter som Miller menade gynnade större team. Hackare gick emot de fyra stora webbläsarna.
På Pwn2Own 2012 utnyttjades Chrome framgångsrikt för första gången. VUPEN avböjde att avslöja hur de flydde sandlådan och sa att de skulle sälja informationen. Internet Explorer 9 på Windows 7 utnyttjades sedan framgångsrikt. Firefox var den tredje webbläsaren som hackades med hjälp av en zero day exploit .
Safari på Mac OS X Lion var den enda webbläsaren som stod kvar vid slutet av nolldagsdelen av pwn2own. Versioner av Safari som inte var helt patchade och körde på Mac OS X Snow Leopard äventyrades under CVE-delen av pwn2own. Betydande förbättringar av säkerhetsbegränsningarna inom Mac OS X introducerades i Lion. [ citat behövs ]
Kontrovers med Google
Google drog sig ur sponsring av evenemanget eftersom 2012 års regler inte krävde fullständigt avslöjande av utnyttjande från vinnare, specifikt utnyttjande för att bryta sig ut ur en miljö med sandlådor och demonstrerade bedrifter som inte "vann". Pwn2Own försvarade beslutet och sa att de trodde att inga hackare skulle försöka utnyttja Chrome om deras metoder måste avslöjas. Google erbjöd en separat "Pwnium"-tävling som erbjöd upp till $60 000 för Chrome-specifika utnyttjande. Sårbarheter som inte är Chrome-sårbarheter som användes garanterades att omedelbart rapporteras till lämplig leverantör. Sergey Glazunov och en tonåring som identifierats som "PinkiePie" tjänade var och en $60 000 för bedrifter som kringgick säkerhetssandlådan. Google utfärdade en korrigering till Chrome-användare inom mindre än 24 timmar efter att Pwnium-exploaterna demonstrerades.
2013
2013 återvände Google som sponsor och reglerna ändrades för att kräva fullständigt avslöjande av utnyttjande och tekniker som används. Mobile Pwn2Own 2013-tävlingen hölls 13–14 november 2013, under PacSec 2013-konferensen i Tokyo. Webbläsarna Google Chrome, Internet Explorer och Firefox, tillsammans med Windows 8 och Java, utnyttjades. Adobe gick också med i tävlingen och lade till Reader och Flash. Apple Safari på Mountain Lion var inte måltavla eftersom inga lag dök upp.
Det franska säkerhetsföretaget VUPEN har framgångsrikt utnyttjat en helt uppdaterad Internet Explorer 10 på Microsoft Surface Pro som kör en 64-bitarsversion av Windows 8 och helt förbi Protected Mode-sandlådan utan att krascha eller frysa webbläsaren. VUPEN-teamet utnyttjade sedan Mozilla Firefox, Adobe Flash och Oracle Java. Pinkie Pie vann 50 000 $ och Google släppte Chrome-uppdateringar den 14 november för att åtgärda de exploaterade sårbarheterna. Nils och Jon från MWRLabs lyckades utnyttja Google Chrome med WebKit- och Windows-kärnfel för att kringgå Chrome-sandlådan och vann $100 000. George Hotz utnyttjade Adobe Acrobat Reader och flydde sandlådan för att vinna $70 000. James Forshaw, Joshua Drake och Ben Murphy utnyttjade Oracle Java oberoende för att vinna $20 000 vardera.
I den mobila tävlingen vann tävlande $117 500 av en prispott på $300 000.
2014
På Pwn2Own 2014 i mars hölls i Vancouver på CanSecWest Conference och sponsrades av Hewlett-Packard . Alla fyra riktade webbläsare föll till forskare, och de tävlande vann totalt 850 000 $ av en tillgänglig pool på 1 085 000 $. VUPEN utnyttjade framgångsrikt fullständigt uppdaterad Internet Explorer 11 , Adobe Reader XI, Google Chrome, Adobe Flash och Mozilla Firefox på en 64-bitarsversion av Windows 8.1 för att vinna totalt 400 000 $ – den högsta utbetalningen till en enskild konkurrent hittills. Företaget använde totalt 11 distinkta nolldagssårbarheter.
Bland andra framgångsrika bedrifter under 2014, utnyttjades Internet Explorer 11 av Sebastian Apelt och Andreas Schmidt för ett pris på $100 000. Apple Safari på Mac OS X Mavericks och Adobe Flash på Windows 8.1 utnyttjades framgångsrikt av Liang Chen från Keen Team och Zeguang Zhao från team509. Mozilla Firefox utnyttjades tre gånger den första dagen, och en gång till på den andra dagen, med HP tilldelade forskare 50 000 dollar för varje avslöjad Firefox-brist det året. Både Vupen och en anonym deltagare utnyttjade Google Chrome. Vupen tjänade $100 000 för cracket, medan den anonyma deltagaren fick sitt pris på $60 000 reducerat, eftersom deras attack förlitade sig på en sårbarhet som avslöjades dagen innan vid Googles Pwnium-tävling. Nico Joly från VUPEN-teamet tog också på sig Windows Phone ( Lumia 1520 ), men kunde inte få full kontroll över systemet. 2014 hackade Keen Lab Windows 8.1 Adobe Flash på 16 sekunder, samt OSX Mavericks Safari-systemet på 20 sekunder.
2015–2017
Varje enskilt pris som var tillgängligt togs emot 2015 i mars i Vancouver, och alla webbläsare hackades för totalt $557 500 och andra priser. Topphackern visade sig vara Jung Hoon Lee, som tog ut "IE 11, både den stabila och betaversionen av Google Chrome, och Apple Safari" och tjänade $225 000 i prispengar. Andra hack var att Team509 och KeenTeem bröt sig in i Adobe Flash och andra avbrott i Adobe Reader. Sammantaget fanns det 5 buggar i Windows-operativsystemet, 4 i Internet Explorer 11, 3 i Firefox, Adobe Reader och Adobe Flash, 2 i Safari och 1 i Chrome. Google upphörde att vara sponsor för Pwn2Own 2015.
Vid tävlingen i mars 2016 kunde "vart och ett av de vinnande bidragen undvika sandlådebegränsningarna genom att utnyttja sårbarheter i de underliggande operativsystemen." Under 2016 hackades Chrome, Microsoft Edge och Safari alla. Enligt Brian Gorenc, chef för Vulnerability Research på HPE , hade de valt att inte inkludera Firefox det året eftersom de hade "ville fokusera på de webbläsare som [hade] gjort allvarliga säkerhetsförbättringar under det senaste året". Under 2016 hackade Qihoo360 framgångsrikt in en Pixel på under 60 sekunder.
I mars 2017 i Vancouver bröt sig hackare för första gången in i VMWares virtuella maskinsandlåda. Under 2017 hade Chrome inga framgångsrika hacks (även om bara ett team försökte rikta sig mot Chrome), de efterföljande webbläsarna som gick bäst var, i ordning, Firefox, Safari och Edge. Mobile Pwn2Own hölls den 1 och 2 november 2017. Representanter från Apple, Google och Huawei deltog i tävlingen. Olika smartphones, inklusive de som använder Apples iOS 11.1-programvara, hackades också framgångsrikt. De "11 framgångsrika attackerna" var mot iPhone 7, Huawei Mate 9 Pro och Samsung Galaxy S8 . Google Pixel hackades inte. Sammantaget tilldelade ZDI det året $833 000 för att avslöja 51 nolldagsbuggar. Teamet Qihoo 360 vann topppriset 2017.
2018
Under 2018 var konferensen mycket mindre och sponsrad i första hand av Microsoft. Kina hade förbjudit sina säkerhetsforskare att delta i tävlingen, trots att kinesiska medborgare vunnit tidigare, och förbjudit att avslöja säkerhetsbrister till utlänningar. Framför allt Tencents Keen Labs och Qihoo 360:s 360Vulcan-mängd in, inte heller några andra kinesiska medborgare. En Tianfu Cup designades därefter för att vara en "kinesisk version av Pwn2Own", som också äger rum två gånger om året. Kort före konferensen 2018 hade Microsoft också åtgärdat flera sårbarheter i Edge, vilket fick många team att dra sig ur. Ändå hittades vissa öppningar i Edge, Safari, Firefox och mer. Inga hackförsök gjordes mot Chrome, även om belöningen som erbjöds var densamma som för Edge. Hackare tilldelades slutligen $267 000. Medan många Microsoft-produkter hade stora belöningar tillgängliga för alla som kunde få tillgång genom dem, var det bara Edge som framgångsrikt utnyttjades, och även Safari och Firefox.
2019
En tävling i mars 2019 ägde rum i Vancouver på CanSecWest-konferensen, med kategorier inklusive VMware ESXi , VMware Workstation , Oracle VirtualBox , Chrome, Microsoft Edge och Firefox, samt Tesla. Tesla gick in i sin nya Model 3 sedan, med ett par forskare som tjänade $375 000 och bilen de hackade efter att ha hittat en allvarlig minnesrandomiseringsbugg i bilens infotainmentsystem . Det var också det första året som hackning av enheter i hemautomation var tillåten.
I oktober 2019 rapporterade Politico att nästa upplaga av Pwn2Own hade lagt till industriella kontrollsystem. Pwn2Own Tokyo hölls 6 november till 7 november och förväntades dela ut $750 000 i kontanter och priser. Facebook-portalen gick in, liksom Amazon Echo Show 5 , en Google Nest Hub Max, en Amazon Cloud Cam och en Nest Cam IQ Indoor. Oculus Quest virtual reality-kit deltog också . Under 2019 vann ett team $60 000 genom att hacka sig in i en Amazon Echo Show 5. De gjorde det genom att hacka sig in i "patch gapet" som sammanfogade äldre mjukvara som patchades till andra plattformar, eftersom den smarta skärmen använde en gammal version av Chromium . Teamet delade resultaten med Amazon, som sa att de undersökte hacket och skulle vidta "lämpliga åtgärder".
2020
En ny upplaga av Pwn2Own-tävlingen ägde rum den 21–23 januari 2020, i Miami på S4-konferensen, med endast industriella kontrollsystem och SCADA- mål. De tävlande belönades med mer än $250 000 under det tre dagar långa evenemanget då hackare visade ett flertal bedrifter på många ledande ICS-plattformar. Steven Seeley och Chris Anastasio, en hackerduo som kallar sig Team Incite, belönades med titeln Master of Pwn med vinster på $80 000 och 92,5 Master of Pwn-poäng. Totalt hade tävlingen 14 vinnande demonstrationer, nio delvinster på grund av buggkollisioner och två misslyckade bidrag.
Vårupplagan av Pwn2Own 2020 inträffade den 18–19 mars 2020. Tesla återvände igen som sponsor och hade en Model 3 som tillgängligt mål. På grund av covid-19 flyttade konferensen till ett virtuellt evenemang. Zero Day Initiative beslutade att tillåta distansdeltagande. Detta gjorde det möjligt för forskare att skicka sina bedrifter till programmet innan evenemanget. ZDI-forskare körde sedan bedrifterna från sina hem och spelade in skärmen såväl som Zoom-samtalet med den tävlande. Tävlingen gav sex framgångsrika demonstrationer och belönade $270 000 under det två dagar långa evenemanget samtidigt som man köpte 13 unika buggar i Adobe Reader, Apple Safari och macOS, Microsoft Windows och Oracle VirtualBox. Duon Amat Cama och Richard Zhu (Team Fluoroacetate) kröntes till Master of Pwn med en vinst på $90 000.
Höstupplagan på Pwn2Own, normalt kallad Pwn2Own Tokyo, hölls den 5–7 november 2020. Med lockdownen från COVID-19 fortsatte, hölls tävlingen igen virtuellt och fick titeln Pwn2Own Tokyo (Live From Toronto). ZDI-forskare i Toronto drev evenemanget, med andra som anslutit hemifrån. Denna tävling såg också införandet av SAN-servrar (Storage Area Network) som ett mål. Eventet hade åtta vinnande bidrag, nio delvinster på grund av buggkollisioner och två misslyckade försök. Totalt gav tävlingen $136 500 för 23 unika buggar. Flashback-teamet (Pedro Ribeiro och Radek Domanski) vann Master of Pwn-titeln med två framgångsrika Wide Area Network (WAN) router-exploitationer.
2021
Den 6–8 april 2021 ägde Pwn2Own-tävlingen rum i Austin och nästan. Årets evenemang utökades genom att lägga till kategorin Enterprise Communications, som inkluderar Microsoft Teams och Zoom Messenger. Den första dagen av tävlingen var Apple Safari, Microsoft Exchange, Microsoft Teams, Windows 10 och Ubuntu äventyrade. Zoom Messenger komprometterades den andra dagen av tävlingen med en exploatering med noll klick. Parallels Desktop, Google Chrome och Microsoft Edge utnyttjades också framgångsrikt under tävlingen. Över 1 200 000 USD delades ut för 23 unika 0-dagar. Master of Pwn var en trevägsavgörande mellan Team DEVCORE, OV, och laget av Daan Keuper & Thijs Alkemade. Årets tävling såg också den första kvinnliga deltagaren någonsin, Alisa Esage . [ citat behövs ]
2022
Den andra upplagan av Pwn2Own Miami inträffade mellan 19–21 april 2022, på Filmore i South Beach Miami. Under den tre dagar långa tävlingen delades $400 000 ut för 26 unika 0-dagar. Teamet av Daan Keuper och Thijs Alkemade från Computest Sector 7 tilldelades Master of Pwn med en vinst på $90 000. En höjdpunkt i tävlingen var en demonstration från Daan och Thijs som gick förbi den pålitliga applikationskontrollen på OPC Foundation OPC UA .NET Standard.
Pwn2Own återvände till Vancouver den 18–20 maj 2022 för att fira 15-årsdagen av tävlingen. Under det tre dagar långa evenemanget tilldelade ZDI 1 155 000 USD för 25 unika 0-dagars sårbarheter. Dag ett av tävlingen satte ett endags tävlingsrekord på 800 000 USD som delades ut för olika bedrifter, inklusive tre separata Microsoft Teams-demonstrationer. En av dessa utnyttjar krävde ingen användarinteraktion och kunde användas för att äventyra en hel organisation. Demonstrerade också framgångsrika demonstrationer mot webbläsarna Mozilla Firefox och Apple Safari. Dag två av tävlingen uppmärksammades av en fjärrexploatering av Teslas infotainmentsystem. Forskare från Synacktiv-teamet kunde fjärrstarta vindrutetorkarna, öppna bagageutrymmet och blinka med strålkastarna på fordonet. Evenemangets sista dag visade tre av de sex Windows 11-privilegieupptrappningarna framgångsrikt. Alla dessa sex utnyttjande använde unika buggar. Samsungs flaggskeppstelefon, Galaxy S22, som kör den senaste Android 13, hackades på mindre än en minut. När alla poäng var sammanräknade tilldelades STAR Labs-teamet titeln Master of Pwn med $270 000 och 27 poäng.